Mi sono imbattuto in questa textarea sul sito web di un centro medico. I clienti inseriscono dati medici sensibili qui.
Che cosa vedono gli utenti:
HTML:
<textareaname="message"><?php echo $_POST['message']?></textarea>
Potrebbe essere dannoso / sfruttabile? Qual è lo scenario peggiore qui?
Non c'è alcun pericolo in questa parte specifica del modulo. Sembra che gli sviluppatori abbiano sfuggito per sbaglio le parentesi PHP di apertura e chiusura, causando la visualizzazione del codice PHP così com'è. Ora, questa specifica istanza di modulo non ci consente di fare nulla poiché è solo un testo che viene visualizzato ...
Ma ci insegna qualcosa di molto importante su questo sito: l'input dell'utente non è correttamente disinfettato .
Ciò significa che qualsiasi terza parte malintenzionata può creare una richiesta che contiene script sul lato client arbitrari. Questa terza parte può quindi convincere un utente a visitare il proprio sito Web e da tale sito genera una richiesta POST a questo sito medico vulnerabile. Quindi, lo script sul lato client può essere eseguito dal client che hai scelto come target, all'interno della sessione di quell'utente . Se l'utente è connesso al sito e in grado di eseguire qualsiasi operazione privilegiata (come effettuare un pagamento, o interagire con il contenuto del sito), potresti essere in grado di far eseguire quest'azione di malavoglia.
Tali attacchi sono chiamati attacchi Cross-Site Scripting (XSS), e sfortunatamente sono molto comuni. Vedi questa domanda sul nostro sito e Lista di controllo XSS propria di HPAS per assistenza sulla mitigazione di XSS.
Per quanto riguarda il codice standalone, non è dannoso ma se fa parte di un codice più grande, potrebbe essere usato per sfruttare attacchi basati su app web.