Il sito memorizza il nome del cookie e l'ID utente nel tag dello script dopo il login. Si tratta di un problema per xx o sessione di highjack?

Question

Il sito memorizza il nome del cookie e l'ID utente nel tag dello script dopo il login. Si tratta di un problema per xx o sessione di highjack?

#1 da (2 voti)

0

In anticipo dirò che questo non è il mio sito web e che sto semplicemente facendo un audit generale (per problemi di sicurezza), ma l'ho incontrato nell'origine dopo l'accesso. Un altro tag script per analytics ha gli utenti loggati indirizzo email che risulta essere il nome utente per l'accesso al sistema. È possibile che questa informazione sia potenzialmente un problema e, in tal caso, come posso creare un test per mostrarlo? in particolare l'id della sessione in base al nome della sessione?

Voglio essere responsabile nel rivelare questo, se davvero è un problema. Il mio primo tentativo è stato l'aggiunta di una finestra di avviso di script di base all'url per acquisire alcuni dati, ma l'url è stato disinfettato dal sistema.

<script>
        var USER = {
            Name: "John Doe",
            idSubject: "5555",
            isLoggedIn: "5555"
        };

        // handle condition for user logged in
        USER.isLoggedIn = (USER.isLoggedIn !== "") ? USER.isLoggedIn : false;


        var APP_PATH = "somesite.com";
        var USE_CACHE = "1";
        var FRAMEWORK_PATH = "somesite.com/framework";
        var DEBUG_MODE = 0;
        var APP_TIMEZONE = "EST";
        var COOKIE_NAME = "FOO_SESS";
    </script>

javascript xss session-management

posta Shawn 16.05.2016 - 18:19

fonte

1 risposta

Leggi altre domande sui tag javascript xss session-management

Sul sito di Mozilla Add-ons (AMO) cosa sta succedendo con i link esterni? Che cos'è la funzione "email challenge" di LinkedIn?

score 2 · Answer 1

No, incluso il nome del cookie o il nome utente nella pagina non è un problema.

Il nome di sessione / cookie non è informazione segreta, tutti possono vederlo. [Includere il contenuto del cookie d'altra parte sarebbe un problema minore, in quanto si suppone che i cookie di sessione siano httpOnly per mitigare alcuni dei rischi di XSS].

Anche l'indirizzo email degli utenti non dovrebbe essere un problema, in quanto non è così sensibile, e può essere facilmente accessibile da qualche altra parte (ad es. tramite la pagina del profilo).

_{La tua domanda principale sembrava essere se includere queste due informazioni nella pagina fosse un problema. Per quanto riguarda l'altra domanda: non possiamo davvero rispondere se si ha una vulnerabilità XSS senza sapere come l'input dell'utente sia effettivamente igienizzato dal sistema.}