Nella pagina di accesso dell'applicazione web, ho permesso il trascinamento di qualsiasi testo. È vulnerabile agli attacchi XSS? [chiuso]

0

Dovrò aggiungere un attributo per limitare il trascinamento di qualsiasi file?

    
posta Pranav Shah 24.04.2015 - 11:23
fonte

1 risposta

1

Viene eseguito un attacco XSS mediante l'iniezione di codice dannoso da visualizzare a un altro utente.

Per utilizzare un modulo di accesso standard per un attacco XSS, è necessario che il codice dannoso sia incluso nel nome utente, l'unica cosa che probabilmente verrà mostrata agli altri utenti.
Ma il modo in cui il payload username-with-malicious è arrivato non è rilevante, quindi non è inerente al fatto che si usi il drag-and-drop.

Se si consente a un nome utente costituito da una grande quantità di testo (ad esempio, il contenuto di un file), sarebbe più semplice eseguire questo tipo di attacco XSS in un nome utente. Quindi ti consigliamo di controllare il nome utente contro di esso.

Detto questo, i nomi utente sono spesso limitati nella lunghezza che possono avere. Questo li rende vettori di attacco improbabili. Se stai eseguendo una sorta di forum, le linee di firma degli utenti e i post del forum sono più probabilmente luoghi in cui contenere un attacco XSS.

    
risposta data 24.04.2015 - 11:44
fonte

Leggi altre domande sui tag