Sicurezza ed esecuzione del codice

3

Se prendo dati da un sito Web, ad esempio gli aggiornamenti di stato da Facebook e li mostro sul mio sito web. Quali possibili danni possono essere causati se non tengo conto che il codice scritto come aggiornamento di stato verrebbe eseguito sul mio sito web?

Ad esempio, Mr. Simon ha messo il suo aggiornamento di stato,

"<p style="color:red;">I love to code</p>"

Ora, quando lo visualizzo sul mio sito web, si trasforma nel testo Mi piace codificare scritto in rosso.

    
posta Fahad Uddin 02.03.2013 - 11:29
fonte

1 risposta

2

Fondamentalmente sarai vulnerabile a XSS - l'elemento potrebbe anche essere un elemento di script o l'elemento di paragrafo potrebbe avere attributi di onmouseover etc per eseguire uno script.

  • Se non usi i cookie di sessione HttpOnly, XSS può essere usato per rubare le sessioni.
  • Tutte le misure di sicurezza contro CSRF sono inutili se sei vulnerabile a XSS.
  • Lo script può caricare in modo dinamico file plugin java, flash, pdf, ecc. che possono sfruttare bug nei rispettivi plug-in del browser.
  • Lo script può reindirizzare l'utente da qualche altra parte, nascondere la tua pagina o creare una pagina di phishing convincente dal momento che si trova nel tuo dominio.
  • Probabilmente molti di più - solo la tua immaginazione è il limite:)
risposta data 02.03.2013 - 20:25
fonte

Leggi altre domande sui tag