Non è sfruttabile di per sé, ma è un potenziale percorso di escalation per un utente malintenzionato che passa dalla fissazione dei cookie a XSS completo.
In particolare:
-
Se il sito è in esecuzione su un nome host con domini vicini, qualsiasi attacco XSS su quei vicini significa che un cookie può essere scritto nel dominio padre condiviso, trasformandosi in un attacco XSS sul sito. per esempio. da untrusted-uploads.example.com
possono scrivere un cookie con dominio example.com
, che verrà letto da trusted-www.example.com
.
-
Se il sito è in esecuzione su https://www.example.com/
, un utente malintenzionato può ancora spoofare un sito a http://www.example.com/
. Qualsiasi set di cookie da lì sarà leggibile da https
- lo script in https
non rileva che il cookie non è stato creato con secure
. Quindi cookie-XSS rende inefficace l'HTTPS (eccetto dove è stato sventato da Strict Transport Security, ma non è una difesa completa).
Non è possibile (*) per uno script (lato server o client) per rilevare che i domain
, path
, secure
o httponly
flags sul cookie corrispondono ai valori attesi, il che significa non è possibile rilevare in modo affidabile l'iniezione di cookie al di fuori del proprio sito.
(*: ci sono potenziali hack in cui si tenta di sovrascrivere un cookie impostandone uno nuovo con i flag desiderati, ma in definitiva non è completamente affidabile poiché lo script dell'attaccante potrebbe essere eseguito contemporaneamente).