Dovrò aggiungere un attributo per limitare il trascinamento di qualsiasi file?
Dovrò aggiungere un attributo per limitare il trascinamento di qualsiasi file?
Viene eseguito un attacco XSS mediante l'iniezione di codice dannoso da visualizzare a un altro utente.
Per utilizzare un modulo di accesso standard per un attacco XSS, è necessario che il codice dannoso sia incluso nel nome utente, l'unica cosa che probabilmente verrà mostrata agli altri utenti.
Ma il modo in cui il payload username-with-malicious è arrivato non è rilevante, quindi non è inerente al fatto che si usi il drag-and-drop.
Se si consente a un nome utente costituito da una grande quantità di testo (ad esempio, il contenuto di un file), sarebbe più semplice eseguire questo tipo di attacco XSS in un nome utente. Quindi ti consigliamo di controllare il nome utente contro di esso.
Detto questo, i nomi utente sono spesso limitati nella lunghezza che possono avere. Questo li rende vettori di attacco improbabili. Se stai eseguendo una sorta di forum, le linee di firma degli utenti e i post del forum sono più probabilmente luoghi in cui contenere un attacco XSS.
Leggi altre domande sui tag penetration-test xss