XSS fasullo nella barra di ricerca [chiuso]

3

Stavo curiosando su uno dei programmi meno noti di Google, Build with Chrome , quando ho notato qualcosa di piuttosto divertente con la barra di ricerca. Quando digiti il payload XSS standard <script>alert(1);</script> , la notifica viene visualizzata come se il sito fosse vulnerabile a XSS. Ma qui è la cosa divertente. Se lo modifichi, (come <script>alert(2);</script> ), non succede nulla.

Dopo essermi scervellata su questo, l'unica cosa che posso inventare è che qualche sviluppatore ridacchiante di Google ha pensato che sarebbe stato divertente mandare un gruppo di persone su una traccia di coniglietti e inserire una dichiarazione if nella ricerca che diceva se qualcuno ha cercato <script>alert(1);</script> , visualizzerebbe una notifica con '1'. È una pratica di sicurezza saggia?

Mi sembra che ci siano due lati di questo. Da un lato, se gli aggressori sono così concentrati su una vulnerabilità fasulle, saranno meno propensi a trovare quelli veri. Ma d'altra parte, scommetto che Google ha ottenuto oltre un migliaio di segnalazioni per il programma di bug bug solo su questa vulnerabilità. Ciò rende più difficile individuare i buoni rapporti.

Quindi ecco la mia domanda: è una buona pratica di sicurezza usare le piccole vulnerabilità subdole per proteggersi, o è più lavoro di quanto non risparmia?

    
posta Kernel Stearns 20.03.2017 - 22:39
fonte

1 risposta

1

In un certo senso, questo è abbastanza simile (in 'effect' e in intenzione) alla gestione di un honeypot: si ottiene un preavviso di chi potrebbe spiare e, in qualche misura, ottenere alcune informazioni sulle proprie capacità (ovviamente, in questo caso, non impari tanto tutto ).

Può anche consentire di profilare gli attaccanti in una certa misura: gli attori non sofisticati o passano (perché il loro script di scansione controlla un sacco di cose prima di sputare un report), o se un essere umano era alla tastiera, forse fa quello che fatto, e testare alcune cose (nel qual caso, si può davvero scommettere che il test avrebbe causato un "po 'più da vicino" le tue attività).

Gli attori sofisticati potrebbero avere uno script che ha seguito un tale risultato, che potrebbe esporre i dettagli del loro script (o del pensiero).

Quindi, presumo che non sia "solo" che un dev si diverta un po '- c'è sicuramente un qualche tipo di scopo (potrebbe essere che lo scopo fosse definito post-fact, ma comunque).

E sì - considerato come una sorta di honeypot, tenderei a pensare che ne valga la pena, a conti fatti - sono sicuro che sia ragionevolmente facile creare filtri per tutti i report che questo potrebbe generare.

    
risposta data 21.03.2017 - 14:07
fonte

Leggi altre domande sui tag