Ho trovato questa textarea con PHP. Potrebbe essere dannoso / sfruttabile?

3

Mi sono imbattuto in questa textarea sul sito web di un centro medico. I clienti inseriscono dati medici sensibili qui.

Che cosa vedono gli utenti:

HTML:

<textareaname="message">&lt;?php echo $_POST['message']?&gt;</textarea>

Potrebbe essere dannoso / sfruttabile? Qual è lo scenario peggiore qui?

    
posta user77070 22.05.2015 - 15:42
fonte

2 risposte

2

Non c'è alcun pericolo in questa parte specifica del modulo. Sembra che gli sviluppatori abbiano sfuggito per sbaglio le parentesi PHP di apertura e chiusura, causando la visualizzazione del codice PHP così com'è. Ora, questa specifica istanza di modulo non ci consente di fare nulla poiché è solo un testo che viene visualizzato ...

Ma ci insegna qualcosa di molto importante su questo sito: l'input dell'utente non è correttamente disinfettato .

Ciò significa che qualsiasi terza parte malintenzionata può creare una richiesta che contiene script sul lato client arbitrari. Questa terza parte può quindi convincere un utente a visitare il proprio sito Web e da tale sito genera una richiesta POST a questo sito medico vulnerabile. Quindi, lo script sul lato client può essere eseguito dal client che hai scelto come target, all'interno della sessione di quell'utente . Se l'utente è connesso al sito e in grado di eseguire qualsiasi operazione privilegiata (come effettuare un pagamento, o interagire con il contenuto del sito), potresti essere in grado di far eseguire quest'azione di malavoglia.

Tali attacchi sono chiamati attacchi Cross-Site Scripting (XSS), e sfortunatamente sono molto comuni. Vedi questa domanda sul nostro sito e Lista di controllo XSS propria di HPAS per assistenza sulla mitigazione di XSS.

    
risposta data 22.05.2015 - 16:45
fonte
0

Per quanto riguarda il codice standalone, non è dannoso ma se fa parte di un codice più grande, potrebbe essere usato per sfruttare attacchi basati su app web.

    
risposta data 28.05.2015 - 11:13
fonte

Leggi altre domande sui tag