XSS Database MySQL accessibile?

3

Vorrei sapere se esiste il pericolo che qualcuno possa accedere al database tramite vulnerabilità XSS su questa pagina.

Ho il seguente link. Quando vai a questo link, il testo che ho incluso come codice viene visualizzato sul sito: www.site.com/languages.php

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["57"]}}

Cambio il link e il testo cambia di conseguenza: www.site.com/languages.php?list []

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["","57"]}}

Cambio nuovamente il link e ottieni questo testo corrispondente: www.site.com/languages.php?list [] = qualunque

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["whatever","57"]}}

Ancora una volta, apporto il seguente cambiamento nel link e ottengo il seguente sullo schermo (qualunque cosa venga visualizzata in seguito in un colore rosso):

www.site.com/languages.php?list[]=<font color=red>whatever</font>

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["whatever<\/font>","57"]}}
    
posta Pamela 04.04.2013 - 08:25
fonte

1 risposta

2

È possibile accedere al database con XSS, se un utente malintenzionato consegna un payload XSS a un browser che dispone dell'accesso al database. XSS consente a un utente malintenzionato di controllare un browser, se tale browser è un utente autenticato, quindi un utente malintenzionato può eseguire azioni come tale utente autenticato.

    
risposta data 04.04.2013 - 08:50
fonte

Leggi altre domande sui tag