XSS - Quanto può essere serio? [duplicare]

4

Mi sto solo interrogando sugli attacchi XSS. Diciamo che ho un sito web normale, ma mostra alcune cose basate sulle variabili $ _GET. Il sito Web non ha un sistema di login, tutti gli utenti possono fare è navigare in pagine diverse che sono dinamiche. In questo scenario, qual è il peggio che qualcuno può fare?

Una domanda più importante per me è questa. Dì che il mio sito web si trova nella mia cartella public_html, all'interno della propria cartella. Quindi l'url potrebbe essere simile a questo

www.mysite.com/siteA/index.php

Diciamo che il sito A è vago verso XSS. Ora nella cartella public_html, ho diversi siti e moduli all'interno della propria cartella. Quindi potrei avere

www.mysite.com/siteB/index.php

Se il sito A è vago, possono fare qualcosa con il sito B?

Grazie

    
posta Nick Price 10.02.2016 - 17:37
fonte

3 risposte

7

XSS non è un attacco alla tua applicazione; è un attacco agli utenti della tua applicazione. Di norma, non esiste alcuna minaccia specifica per il server stesso da XSS.

Dato che hai un'applicazione abbastanza semplice, non soffri di alcuni dei problemi più importanti che XSS crea in genere, come rubare i token di autenticazione ed eseguire maliziosamente le funzionalità del sito, tuttavia ciò non significa che tu non sia rischio a tutti.

La più grande minaccia rimasta è quella di un attacco da abbeveratoio. Cioè, il tuo sito può ora essere utilizzato come un vettore per attaccare gli utenti che si fidano di esso. Se il tuo sito è suscettibile di XSS riflessivo, un utente malintenzionato può creare collegamenti legittimamente per il tuo sito, di cui i tuoi utenti si fidano, ma quando li utilizzano per accedere al tuo sito, l'XSS inietterà malware nei loro sistemi.

Questo non è più un problema, con l'introduzione della protezione XSS nei principali browser, ma non farei affidamento solo su questo per proteggere i tuoi utenti. Esci dall'input dell'utente che viene riflesso per prevenire XSS in primo luogo.

    
risposta data 10.02.2016 - 18:04
fonte
2

Se sei vulnerabile a XSS. L'attaccante può eseguire qualsiasi codice che potresti. Poteva rubare (sessione) i cookie, modificare il DOM e creare una pagina di phishing, agganciare Fruttafatto europeo sulle vittime, ... E poiché stai utilizzando GET, potrebbe creare l'URL e i suoi parametri per includere il payload dannoso e inviarlo a chiunque. Chiunque apra quel collegamento esegue quindi lo script dannoso.

Leggi questo documento per molte informazioni ed esempi.

Nota anche che ci sono diversi tipi di XSS .

  • Persistente: si verifica quando ad esempio memorizzi l'input dell'utente in un database, per visualizzarlo in un secondo momento (chat, forum, ...). In questo modo l'attaccante può iniettare il suo carico utile e rimane lì fino a quando non viene trovato dal webmaster.
  • Non persistente: non salvato. Eseguito solo in quella sessione. Spesso inserendo il payload in parametri URL. Caricamento dell'URL con questi parametri = payload di attivazione.

If Site A is vunerable, can they do anything with Site B?

Poiché è sotto lo stesso dominio, immagino che il browser veda i tuoi siti web "diversi" come uno. Quindi tramite un cookie di B può essere rubato. Ma non farmelo notare.

    
risposta data 10.02.2016 - 18:02
fonte
2

Esiste un framework di esplosione XSS chiamato BeEF che consente una serie di diversi tipi di attacchi una volta che un "gancio" può essere posizionato usando XSS (o altri mezzi). Visualizza un elenco di browser collegati e fornisce a un utente malintenzionato diversi modi per attaccarli.

Alcuni di questi attacchi includono il phishing per i nomi utente / password di Gmail utilizzando schermate di accesso molto convincenti (ma false), che richiedono agli utenti di scaricare quelli che sembrano essere aggiornamenti software legittimi che sono in realtà payload del malware e numero di altri attacchi. Quindi, mentre non ci possono essere molti attacchi contro il tuo particolare sito, il tuo sito potrebbe potenzialmente essere usato per lanciare attacchi contro i tuoi utenti di altri account e macchine personali.

Puoi vedere un interessante video dimostrativo qui .

    
risposta data 10.02.2016 - 18:14
fonte

Leggi altre domande sui tag