Un documento HTML generato da CMS da un amministratore può essere considerato affidabile e non vulnerabile a XSS?

2

Attualmente sto lavorando su un CMS / Framework che ho sviluppato che è simile a Wordpress, in quanto è una piattaforma per gli amministratori per creare / pubblicare contenuti per gli utenti.

Sto salvando l'HTML generato dai campi dell'editor nel mio database e legando l'HTML all'interno della mia risposta JSON nel client per essere visualizzato una volta recuperato. Tuttavia, spesso, viene eseguita molta sanitizzazione per visualizzare l'HTML da proteggere dagli attacchi XSS. Che sicuramente capisco perché.

Tuttavia, in questo caso in cui l'amministratore del sito sta generando il contenuto. Finché gli amministratori adottano altre azioni di sicurezza (come la protezione dei loro account con password complesse e la protezione dei loro server) e non sono malevoli da soli, è possibile affermare che l'HTML è affidabile e non deve essere considerato vulnerabile a XSS corretto? Presto scriverò presto la documentazione sul framework e vorrei richiamare tutti gli avvertimenti che il framework potrebbe avere, in modo che gli sviluppatori siano a conoscenza.

Qualsiasi consiglio sarebbe apprezzato. O se ci sono altre grandi falle nella sicurezza dovrei cercare, per favore fammi sapere.

Grazie!

    
posta Torch2424 14.03.2017 - 16:49
fonte

1 risposta

2

Se per "amministratore" si intende la persona con tutti i diritti, allora va bene e non è considerata una vulnerabilità. Se disponi anche di un "superamministratore" più privilegiato, l'amministratore può elevare i privilegi al super amministratore tramite XSS.

Ci sono alcune vulnerabilità il cui impatto sarebbe aumentato da questo. Ad esempio CSRF ora avrà tutta la potenza di XSS.

Dovresti anche documentarlo - WordPress ad esempio documenta anche questo, in modo che le persone ne siano a conoscenza (e quindi non ricevi segnalazioni su problemi che non consideri vulnerabilità).

    
risposta data 14.03.2017 - 18:42
fonte

Leggi altre domande sui tag