L'injection HTML può essere un problema di sicurezza?

0

Recentemente mi sono imbattuto in un sito web che genera un aggettivo casuale, circondato da un prefisso e suffisso inserito dall'utente. Ad esempio, se l'utente inserisce "123" come prefisso e "789" come suffisso, potrebbe generare "123Productive789". Sono andato in giro e ho pensato di provare qualcosa. Ho inserito questo nel campo prefisso:

<a href="javascript:window.close();">Click</a><hr />

E, abbastanza sicuro, mi è stato dato il link, quindi un <hr> , quindi un aggettivo casuale. Quello che mi chiedo è, potrebbe essere pericoloso? Ci devono essere molti altri siti web che hanno questo problema, sono tutti vulnerabili a una sorta di iniezione di php?

    
posta tkbx 28.11.2012 - 00:04
fonte

1 risposta

7

Sembra che questo sito sia vulnerabile a un attacco di scripting cross-site (XSS). XSS è una vulnerabilità di sicurezza ragionevolmente comune e potenzialmente significativa.

Ovviamente, ciò che un utente malintenzionato può ottenere usando un attacco XSS dipenderà molto dalla natura del sito stesso. È probabile che una vulnerabilità XSS su un sito bancario porti a molti più attacchi di una vulnerabilità XSS su un'app web giocattolo che non ha accessi e non ha dati utente.

    
risposta data 28.11.2012 - 00:10
fonte

Leggi altre domande sui tag