Wir sind dabei, eine öffentlich zugängliche Website zu starten, und das Sicherheitsüberprüfungsteam ist mit einer XSS-Sicherheitslücke zurückgekehrt. Es handelt sich im Wesentlichen um eine Broschüren-Website - es gibt keine Anmeldungen und keine vom Nutzer übermittelten Informationen werden öffentlich angezeigt.Ist XSS immer noch ein Risiko, wenn Ihre Website Benutzern das Anmelden nicht erlaubt?
Ist XSS immer noch etwas, worüber wir uns Sorgen machen sollten?
Wenn Benutzer keine Daten übermitteln können, ist XSS unmöglich. –
Was ist mit nicht persistenten Angriffen? zB Erstellen einer URL auf der verletzlichen Seite der Site und Verführen eines anderen Benutzers, diese URL zu besuchen, um ihre Informationen zu stehlen? – ScottE
@Kirk Woll, Wenn das Sicherheitsteam mit einem funktionierenden Exploit zurückgekommen ist, dann ist es wahrscheinlich auf dieser Seite möglich. –