Le stringhe di traduzione fornite dall'utente sono un vettore di attacco

1

Twitter e varie altre società Web consentono agli utenti di aiutare a tradurre l'interfaccia utente nella loro lingua.

Crowdsourcing translations isn’t new for us. Since October, 2009, we’ve counted on Twitter users to volunteer as translators and help us localize Twitter.

Un modello HTML probabilmente sostituisce le stringhe della lingua primaria delimitate con quelle della lingua di output. Poiché le stringhe del linguaggio di output provengono da una fonte non attendibile, potrebbero contenere un payload per sfruttare una vulnerabilità XSS o, se i risultati vengono visualizzati nei feed, un attacco di entità XML o simili.

Qualcuno sa se tali attacchi si sono presentati in natura?

    
posta Mike Samuel 13.01.2012 - 18:37
fonte

1 risposta

1

Ovviamente devono essere disinfettati / codificati. Ma non vedo come sia più vulnerabile a XSS e simili di altri dati forniti dall'utente.

Mi preoccuperei di più dei messaggi che significano qualcosa di diverso in quell'altro linguaggio che viene sostituito. Potrebbe essere utilizzato per l'ingegneria sociale o per ridurre la reputazione del tuo sito web inserendo contenuti inappropriati o offensivi.

    
risposta data 15.01.2012 - 00:44
fonte

Leggi altre domande sui tag