XSS - Quanto può essere serio? [duplicare]

XSS non è un attacco alla tua applicazione; è un attacco agli utenti della tua applicazione. Di norma, non esiste alcuna minaccia specifica per il server stesso da XSS.

Dato che hai un'applicazione abbastanza semplice, non soffri di alcuni dei problemi più importanti che XSS crea in genere, come rubare i token di autenticazione ed eseguire maliziosamente le funzionalità del sito, tuttavia ciò non significa che tu non sia rischio a tutti.

La più grande minaccia rimasta è quella di un attacco da abbeveratoio. Cioè, il tuo sito può ora essere utilizzato come un vettore per attaccare gli utenti che si fidano di esso. Se il tuo sito è suscettibile di XSS riflessivo, un utente malintenzionato può creare collegamenti legittimamente per il tuo sito, di cui i tuoi utenti si fidano, ma quando li utilizzano per accedere al tuo sito, l'XSS inietterà malware nei loro sistemi.

Questo non è più un problema, con l'introduzione della protezione XSS nei principali browser, ma non farei affidamento solo su questo per proteggere i tuoi utenti. Esci dall'input dell'utente che viene riflesso per prevenire XSS in primo luogo.

Se sei vulnerabile a XSS. L'attaccante può eseguire qualsiasi codice che potresti. Poteva rubare (sessione) i cookie, modificare il DOM e creare una pagina di phishing, agganciare Fruttafatto europeo sulle vittime, ... E poiché stai utilizzando GET, potrebbe creare l'URL e i suoi parametri per includere il payload dannoso e inviarlo a chiunque. Chiunque apra quel collegamento esegue quindi lo script dannoso.

Leggi questo documento per molte informazioni ed esempi.

Nota anche che ci sono diversi tipi di XSS .

• Persistente: si verifica quando ad esempio memorizzi l'input dell'utente in un database, per visualizzarlo in un secondo momento (chat, forum, ...). In questo modo l'attaccante può iniettare il suo carico utile e rimane lì fino a quando non viene trovato dal webmaster.
• Non persistente: non salvato. Eseguito solo in quella sessione. Spesso inserendo il payload in parametri URL. Caricamento dell'URL con questi parametri = payload di attivazione.

If Site A is vunerable, can they do anything with Site B?

Poiché è sotto lo stesso dominio, immagino che il browser veda i tuoi siti web "diversi" come uno. Quindi tramite un cookie di B può essere rubato. Ma non farmelo notare.

Esiste un framework di esplosione XSS chiamato BeEF che consente una serie di diversi tipi di attacchi una volta che un "gancio" può essere posizionato usando XSS (o altri mezzi). Visualizza un elenco di browser collegati e fornisce a un utente malintenzionato diversi modi per attaccarli.

Alcuni di questi attacchi includono il phishing per i nomi utente / password di Gmail utilizzando schermate di accesso molto convincenti (ma false), che richiedono agli utenti di scaricare quelli che sembrano essere aggiornamenti software legittimi che sono in realtà payload del malware e numero di altri attacchi. Quindi, mentre non ci possono essere molti attacchi contro il tuo particolare sito, il tuo sito potrebbe potenzialmente essere usato per lanciare attacchi contro i tuoi utenti di altri account e macchine personali.

Puoi vedere un interessante video dimostrativo qui .