X-Script è un problema solo per le pagine Web pubbliche?

0

Sono alle prese con gli attacchi X-Script. Penso di capire di cosa si tratta, ma non è chiaro se interessano solo le pagine Web pubbliche (che definirò meglio).

L'esempio che vedo spesso è dove l'attacco è "collegato" a qualcosa di pubblico (come un forum) in cui l'utente non ha bisogno di essere registrato (e quindi una pagina web pubblica). Ciò significa che, quando la pagina viene caricata, i carichi javascript e l'attacco possono essere eseguiti.

La mia domanda è: possono gli attacchi X-Script essere ancora pericolosi se solo l'utente che lo ha impostato può avere accesso ad esso (se è nascosto dietro un login)?

Sto escludendo l'iniezione SQL per questa domanda per favore.

Ad esempio, considera un semplice sito Web che consente a un utente di accedere e visualizzare un elenco di commenti che ha fatto. Non possono condividere i loro commenti con nessuno e solo l'utente che ha effettuato l'accesso può vedere i commenti. L'utente può aggiungere qualsiasi codice a loro piace qui. In quanto tale, qualsiasi codice dannoso che aggiungono interesserà solo l'utente che ha effettuato l'accesso!

Devo ancora preoccuparmi degli attacchi X-script su questo tipo di sito web?

    
posta MyDaftQuestions 01.10.2018 - 10:40
fonte

1 risposta

4

Gli utenti possono già aggiungere qualsiasi JavaScript che desiderano alle pagine che visualizzano utilizzando gli strumenti disponibili nel browser. Di conseguenza, devi sempre progettare la pagina in modo che non sia un problema.

Considerato quanto sopra, potresti scegliere di non preoccuparti dell'iniezione di script su una pagina come quella che descrivi. Tuttavia, ci sono molte cose da considerare prima (questa non è una lista esaustiva):

  • Un utente malintenzionato può creare un collegamento che aggiungerà uno script a chiunque lo faccia clic?
  • Sei sicuro che la pagina non verrà mai mostrata a nessun altro? Avete moderatori, assistenza clienti, ecc. A chi potrebbe aver bisogno di accedere in futuro?
  • Qualcuno potrebbe copiare questa soluzione in una pagina che consente l'accesso ad altri?
  • Quali altri buchi stai lasciando aperto non sanificando completamente l'input dell'utente?

Con questo in mente, sceglierei di proteggermi dall'iniezione di script ogni volta che non è un requisito.

    
risposta data 01.10.2018 - 11:09
fonte

Leggi altre domande sui tag