1. Zuhause
  2. Frage und Antwort
  3. Ist XSS immer noch ein Risiko, wenn Ihre Website Benutzern das Anmelden nicht erlaubt?

Ist XSS immer noch ein Risiko, wenn Ihre Website Benutzern das Anmelden nicht erlaubt?

2011-01-08 5 views
0

Wir sind dabei, eine öffentlich zugängliche Website zu starten, und das Sicherheitsüberprüfungsteam ist mit einer XSS-Sicherheitslücke zurückgekehrt. Es handelt sich im Wesentlichen um eine Broschüren-Website - es gibt keine Anmeldungen und keine vom Nutzer übermittelten Informationen werden öffentlich angezeigt.Ist XSS immer noch ein Risiko, wenn Ihre Website Benutzern das Anmelden nicht erlaubt?

Ist XSS immer noch etwas, worüber wir uns Sorgen machen sollten?

Quelle

2011-01-08 ScottE

+0

Wenn Benutzer keine Daten übermitteln können, ist XSS unmöglich. –

+0

Was ist mit nicht persistenten Angriffen? zB Erstellen einer URL auf der verletzlichen Seite der Site und Verführen eines anderen Benutzers, diese URL zu besuchen, um ihre Informationen zu stehlen? – ScottE

+0

@Kirk Woll, Wenn das Sicherheitsteam mit einem funktionierenden Exploit zurückgekommen ist, dann ist es wahrscheinlich auf dieser Seite möglich. –

Antwort

2

Ja, ermöglicht XSS Hackern, den Inhalt auf Ihrer Website zu steuern und normalerweise einen einzigen Funktionsaufruf zu beheben. Es erfordert weniger Aufwand, dieses Problem zu beheben, als dass Sie diese Frage an SO senden.

Sagen wir, Sie sind Fox News, jemand könnte XSS verwenden, um die Nachrichten zu fabrizieren. Darüber hinaus könnte es verwendet werden, um eine Download-Attacke für Ihre Benutzer bereitzustellen. In Ihrem Fall könnte jemand eine gefälschte Broschüre mit unverschämten Behauptungen erstellen.

Quelle

2011-01-08 18:49:26 rook

+1

Können Sie erklären, wie dies mit einem nicht persistenten Vektor gemacht werden würde? – ScottE

+1

@ScottE, indem Sie Short-URL-Dienste verwenden, um den XSS-Vektor zu verbergen und (massenhaft) die URL zu mailen. Alternativ können Sie das auch tun, indem Sie die Fox-Seite in einen Iframe von 100% laden. – Henri

+0

Kurze URL-Dienste erlauben es tatsächlich jemandem, Skript-Tags (oder deren Äquivalent) zu verwenden ?? – ScottE

0

Ja, XSS-Schwachstellen müssen nicht auf Benutzerdaten ausgerichtet sein. Sie können verwendet werden, um Ihre Website in eine Malware-Verteilungssite umzuwandeln. Stellen Sie sich vor, ein Angreifer setzt ein XSS ein, das eine Warnung mit der Meldung "Ihr Computer hat möglicherweise einen Virus" anzeigt und startet einen Download für den gefälschten Virenscanner eines Betrügers. Sie werden von allen Benutzern beschuldigt, die auf den Betrug hereinfallen.

Quelle

2011-01-08 19:45:27

Verwandte Themen

 Verwandte Themen