I moduli di registrazione possono essere utilizzati per un attacco XSS?

Naviga le tue risposte
0

Nella maggior parte dei siti web che dispongono di account di accesso, ci sono almeno due campi:

  • E-mail
  • password

È possibile utilizzare uno di questi campi per montare un attacco XSS (supponendo che non sia codificata per i caratteri)?

Ad esempio, potrebbe essere inviato nel campo email di un modulo di registrazione: 

<script src="www.example.com/mymaliciousscript.js"></script>[email protected]
    
posta Boolean 10.12.2018 - 18:32
fonte

1 risposta

4

Tutto ciò che proviene dal client può essere utilizzato per XSS: campi modulo (compresi quelli nascosti), parametri di query, anche cookie, stringa User-Agent e intestazioni HTTP.

Qualsiasi campo, indipendentemente da quale, stampato senza sanitizzazione è un vettore potenziale per XSS.

    
risposta data 10.12.2018 - 18:47
fonte

Leggi altre domande sui tag

In TrueCrypt Hidden / Overriding normale? HTTPS è necessario per la modifica della password se l'utente ha già effettuato l'accesso con HTTPS?