Questo è un esempio di attacco XSS?

4

Uno scripter vede su determinate pagine Web che è tecnicamente possibile includere markup come HTML e CSS / JS. È tecnicamente possibile inviare un javascript o iframe e farlo visualizzare al visitatore che esegue un javascript che potrebbe essere qualsiasi javascript. Non l'ho praticamente provato ma potrei includere "bug" che hanno cambiato layout in altre parti della pagina. Ad esempio, potrei ridecorare il link denominato "next" in un elenco di impaginazioni per i commenti pubblicando un commento con CSS e sono sicuro che se avessi permesso agli utenti di postare il codice non avrei permesso loro di eseguire javascript da un altro utente e permettere CSS da un commento per sovrascrivere gli elementi la pagina è sicuramente indesiderata. È quello che sto parlando di un sito che ha una vulnerabilità per XSS e quindi dovrebbe aumentare la sua sicurezza? Grazie

    
posta Niklas Rosencrantz 16.08.2011 - 21:39
fonte

2 risposte

8

Sì, questo è esattamente ciò di cui si parla quando si discute delle vulnerabilità XSS. Nel contesto che hai descritto, si potrebbe anche aggiungere del codice per reindirizzare un utente a qualsiasi sito o presentare eventualmente codice dannoso direttamente da quel sito. È possibile modificare la destinazione dei moduli per le password, pubblicare i cookie su altri siti Web e molti altri atti dannosi.

    
risposta data 16.08.2011 - 22:09
fonte
1

Dai un'occhiata a questo se non capisci cos'è xss. link

Puoi provare tutte le tue cose su xss su demo.testfire.net

Quindi apri il browser Opera e inserisci questo URL (esempio banale) link

Questo è un esempio di come xss può essere usato (sembra che abbia cancellato il sito e fornito informazioni sbagliate a un utente, può anche essere usato per il defacement ma non lo spiegherà qui.)

Potresti anche usare xss per reindirizzare un utente a un sito dannoso inviando loro un URL di un sito di cui si fidano di solito ma con javascript nell'URL che li reindirizza a un altro sito.

Qualcosa di simile funzionerebbe pubblicarlo nella barra di ricerca: window.location="http://HomePC.MyISP.com"

    
risposta data 18.03.2013 - 21:09
fonte

Leggi altre domande sui tag