Quale pirateria informatica rischia di avere un sito se non ha caselle di input?

2

Recentemente ho postato una domanda sul ripristino del sito Web dagli attacchi XSS, link ...

Facendo un po 'più di scavo online, ho scoperto che il sito è vulnerabile all'XSS se consente all'utente di fornire input o, in altre parole, di avere qualsiasi tipo di casella di input nel sito ( come < em> casella di ricerca, modulo di contatto, invio di un feedback ecc. )

Ora, quello che voglio sapere è questo:

  • supponendo che un sito non abbia caselle di input, è ancora vulnerabile agli attacchi XSS, se si , allora come?
  • a parte XSS, altri attacchi hacker che un sito può affrontare se non ha caselle di input per l'utente

Lo so, è una domanda piuttosto ampia, ho solo bisogno di qualche testa a testa sull'argomento su google !! !!

PS : ho postato questa domanda su Stackoverflow e mi è stato detto che questa è una piattaforma migliore per porre questa domanda, quindi il link alla domanda: stackoverflow.com/questions/20783204/what-hacking-risks -un-sito-ha-se-non-ha-input-box-box, e la mia prima domanda qui, quindi correggimi per TAGS per questa domanda !!

    
posta NoobEditor 26.12.2013 - 14:56
fonte

2 risposte

6

Anche se un sito my non ha caselle di input, elaborerà comunque input. Esempi di questi tipi di input sono:

  • Intestazioni HTTP.
  • Valori dei cookie.
  • Valori stringa di query.
  • Dati POST

Se il sito visualizza uno di questi valori in una pagina HTML, i valori dovrebbero essere codificati correttamente per impedire XSS .

Ad esempio, se una pagina pubblica i valori delle User-Agent intestazioni di tutti i visitatori in HTML per elencare il dettagli grezzi di tutti i browser che sono stati utilizzati, un utente malintenzionato potrebbe impostare il proprio valore di intestazione come codice JavaScript dannoso e quindi visitare la pagina che registra le intestazioni.

Ci sono molti attacchi possibili, vedi il OWASP Top 10 2013 per alcuni esempi, nessuno dei che richiedono caselle di input da utilizzare.

    
risposta data 26.12.2013 - 15:19
fonte
4

assuming a site has got no input boxes, is it still vulnerable to XSS attack, if yes, then how?

L'input dell'utente può ancora da altri posti invece che caselle di input (probabilmente causando XSS, SQL injection, reindirizzamenti di siti e altro):

  1. Valori di QueryString
  2. Valori del modulo (solo perché non ha moduli non significa che il sito non accetta POST)
  3. Valori dei cookie
  4. Intestazioni HTTP

apart from XSS, other hack-attacks a site can face if it hasn't got any input boxes for user

Vale la pena fare qualche lettura in quest'area - ci sono così tanti attacchi da considerare. Uno dei miei libri preferiti è 19 Deadly Sins of Software Security

    
risposta data 26.12.2013 - 15:17
fonte

Leggi altre domande sui tag