perché è insicuro usare userdata nei nomi dei parametri url?

Naviga le tue risposte
2

Nel sito OWASP su XSS si dice che è sicuro di inserire userdata nei valori dei parametri GET quando codificati.

Tuttavia, i dati utente non dovrebbero essere usati altrove, quindi non nello schema, nel dominio o nei nomi dei parametri. Sfortunatamente non riesco a trovare alcun indizio sul perché non sarebbe sicuro nei nomi dei parametri.

Qualcuno può mostrarmi un esempio o una spiegazione di cosa potrebbe accadere se lo facessi? Ovviamente utilizzerei ancora la codifica url sul nome del parametro.

    
posta Myrddin81 21.07.2017 - 09:34
fonte

2 risposte

1

Nello schema, un utente malintenzionato potrebbe utilizzare il protocollo javascript per eseguire XSS: 

<a href="javascript:alert(1)">click</a>

Il protocollo data potrebbe essere utilizzato anche negli attacchi.

A parte questo, OWASP non sta parlando di nomi di domini o parametri, in quanto questa guida è strettamente relativa alla difesa contro XSS in diversi contesti. A seconda dell'applicazione, è comunque possibile avere il controllo su di esso, ma ciò non è rilevante per XSS.

Per quanto riguarda XSS, i nomi dei parametri non sono speciali e possono essere trattati allo stesso modo dei valori dei parametri. OWASP probabilmente non li menziona esplicitamente perché i nomi dei parametri forniti dall'utente non sono molto comuni.

    
risposta data 21.07.2017 - 11:44
fonte
0

I dati utente saranno visibili nell'url, se qualche dato crutiale è stato passato all'interno di qualsiasi controllo, quindi non è sicuro.

    
risposta data 21.07.2017 - 11:50
fonte

Leggi altre domande sui tag

Elenco corrente di pratiche PHP sicure? [chiuso] Utilizzo degli URI di dati per eseguire XSS nei tag di ancoraggio: vulnerabilità? [duplicare]