Attualmente ho un problema con XXS in questo sito.
https://bbcpanningen.cupweb6.nl:1311/servlet/OMSALogin?msgStatus="><script>alert("hello") </script>
Ma non capisco come un aggressore possa sfruttarlo. I siti non utilizzano i cookie, quindi potrebbe essere un problema. Ho letto qualcosa a riguardo e tutti hanno detto che l'autore dell'attacco doveva inviare un link con l'XSS.
Ci sono molti altri pericoli da XSS, non solo rubare i cookie. La tua pagina potrebbe essere deturpata, i dati protetti (ad esempio con la protezione IP) possono essere rubati o addirittura possono essere utilizzati per fare attacchi basati sul tempo su reti interne a cui il browser attaccato può essere collegato.
Quindi, dovresti dare un'occhiata al Obliter XS di OWASP per proteggerti dalle cose come questi.
Leggi altre domande sui tag web-application appsec xss