Questa vulnerabilità riflessa in XSS rappresenta una vera minaccia?

Naviga le tue risposte
1

Ho un sito web in cui gli utenti possono inserire del testo in una casella di testo e il testo viene immediatamente visualizzato in un div utilizzando javascript (rigorosamente front-end). Se un utente termina qualcosa del genere: 

This is my text<script>alert('test');</script>

Renderà quel contenuto nel div e mostrerà l'avviso. Quando l'utente salva il record, tutto viene codificato in HTML quando arriva al server e quindi salvato nel database, quindi non esiste una vulnerabilità XSS memorizzata.

La mia domanda è se l'atto di rendere il contenuto della casella di testo sul lato client potrebbe rappresentare un qualche tipo di minaccia? In tal caso, cosa potrebbe fare un utente malintenzionato?

    
posta Abe Miessler 11.04.2014 - 01:12
fonte

3 risposte

2

It will render that content in the div and show the alert. My question is if the act of rendering the contents of the textbox on the client side could pose any kind of threat? If so, what could a malicious user do?

Se questo è il caso, lo aggiusterei (difesa approfondita), ma come AviD ha sottolineato senza vedere il sito completo e il suo contesto, è difficile commentare ulteriormente.

When the user saves the record everything is HTML encoded when it gets to the server and then saved to the database, so there is no stored XSS vulnerability.

Per inciso, dovresti codificare i dati solo in uscita - a meno che non stia memorizzando un rich text che l'utente ha il controllo di (nel qual caso altri passi dovrebbero essere presi ), è necessario memorizzare il testo in formato raw e quindi codificare quando si stampa. Questo perché la codifica richiesta differisce tra HTML, JavaScript, XML, ecc. - il contesto in cui viene emesso è tutto importante.

    
risposta data 11.04.2014 - 12:29
fonte
0

È un XSS basato su DOM, quindi è una minaccia per la sicurezza. Anche se è auto-XSS, può essere utilizzato negli attacchi di social engineering, quindi è necessario correggerlo.

Inoltre puoi utilizzare i cookie solo http e alcuni intestazioni http aggiuntive per la protezione

    
risposta data 11.04.2014 - 04:02
fonte
0

Un utente malintenzionato potrebbe utilizzare l'ingegneria sociale per indurre l'utente a inserire javascript pesantemente offuscato in quella casella. L'utente malintenzionato potrebbe affermare che inserendo quel codice qualcosa di veramente divertente o terrificante accadrà, ma ciò che in realtà accade è che compromette le credenziali di accesso.

    
risposta data 11.04.2014 - 13:07
fonte

Leggi altre domande sui tag

Impossibile connettersi alla shell inversa di netcat Cosa fare con i file .hash durante il crack di WPA2