4
如果他輸入的XSS輸入只能由他看到,惡意用戶究竟能獲得什麼?他有什麼可以獲得的?如果只有同一個用戶會看到它,XSS是否會輸入威脅?
我理解當惡意用戶輸入將被所有網站用戶查看時,XSS是如何產生問題的。但是,如果每個用戶僅查看他自己的輸入,他的惡意輸入將僅由他查看,所以我的問題:
- 這可以以某種方式間接影響其他用戶嗎?
- 他能從中獲得什麼?
A
回答
6
什麼攻擊者可以通過觀察,他發現作品中的XSS攻擊向量獲得,就是這樣:-)但是!然後他可以使用那個攻擊媒介,並且有幾種方法可以做到這一點。
如果這是一個非永久性的XSS漏洞(又名反映),那麼可能通過向潛在受害者發送一個鏈接(很可能通過urlshortener進行混淆)。 如果這是一個持續存在的XSS漏洞(即像我現在寫的評論那樣存儲),那麼他只會發佈自己的帖子並等待。
現在,他所能獲得的是一場大談。只要想一想,如果可以將腳本標記插入到網頁中,您可以做些什麼。然後你可以從你的服務器加載一個完整的JavaScript文件。
惡意代碼可能會竊取一些cookie(如果這些cookie沒有設置爲httponly),並立即通過ajax將它們發佈到後端應用程序......這可能會通知攻擊者以及誰知道......這些cookie可能足以滿足作爲受害者登錄該網站。
好吧..攻擊者可以做很多事情......所以請消除您可能擁有的所有XSS漏洞。
XSS漏洞主要利用人們對其他網站的信任。 不要低估XSRF漏洞,這些漏洞取決於網站對您的瀏覽器的信任度(另一個大談話)以及Sql Injection攻擊。
一些提示(我敢肯定你知道有關它的一切,但爲了完整起見:
- 在cookie中的HttpOnly設置使用打印用戶輸入時對用戶進行認證
- 使用ヶ輛回你的輸出前
- 使用mysql_real_escape_string存儲用戶輸入到你的數據庫
- 不執行關鍵操作(即保存/刪除/修改文章)使用GET requests..use POST那些(XSRF)。
祝你好運!
UPDATE:
一些工具,可以幫助:
- Chrome的插件:Websecurify
- Firefox插件:XSS-我
- Windows應用程序:NetSparker社區版(免費)
- X-platrofm:SkipFish,馬鹿皮
- Nessus
(我建議SkipFish)
2
我想不是,但這不是一個A/B的東西。誰知道該「XSS」的「腳本」部分是做什麼的。也許攻擊者在你的AJAX/javascript中發現了一個漏洞,並且他正在使用XSS類型的攻擊來獲得主機上的工具包。再次,我們可以推測整天注入式攻擊會造成什麼樣的危害,但底線是如果你能夠抵禦它,就這樣做。我們在這裏可以想到的每一個技巧都會成爲攻擊者使用的列表中的一個技巧。
準備好你可以預測的東西,對抗已知的東西。
1
作爲一種直接威脅...可能沒有什麼,因爲他們無法完成任何事情,他們無法以直接的方式更輕鬆地完成任務。
但無論如何它應該是固定的,因爲有可能幾個月後線路需求發生變化,或者新開發人員重新使用相同的代碼,然後出現真正的問題。
2
是的,它絕對是。注射可以由第三方發起,如reflected XSS的情況。
2
@Gumbo指出的+1(反映XSS),但也考慮到用戶帳戶被入侵的情況,並且攻擊者提供惡意輸入,當他或她返回時將返回給(合法)用戶到現場。
又一個潛在的攻擊向量...
0
我想你問:
能反映(XSS)的代碼有 對其他遊客的影響之前 分配環節 - 即測試期間
和
什麼是adva ntage這樣的測試可以 達到惡意用戶
如果我正確地讀你,我的回答會是如下:
XSS是有關運行客戶端 碼 - 通常是JavaScript - 在 毫無戒心的用戶瀏覽器和 將有no effect on other users 超出了通過 分發它通過鏈接, 說服用戶輸入它 直接或找到一個方法,以 堅持在給定的頁面。
如果你問它是否能夠 導致某種形式的命令執行 的服務器上,這將是code injection或命令注入,而不是 XSS;惡意用戶將 要麼需要將有幸 發現該網站使用 服務器端JavaScript或壞 足夠的編碼,他們是 實際上做的東西,他們想什麼完全不同 !
無論哪種方式,這將需要 網站容易受到這種形式 注入和超出範圍 什麼XSS是關於。
如果我們談論的XSS,測試允許 惡意用戶正確手藝 他們的最終代碼/鏈接,它是作爲 隱蔽越好,確實 他們想讓它 到任何壞事。
除非有人或某個系統是 請注意日誌 ,例如,多個奇怪的HTTP請求, 惡意用戶將能夠 完善他們的利用,以便當他們的推文/電子郵件/ 病毒 它有理想的效果。
HTH
相關問題
- 1. 在URL中編碼JSON時是否存在任何XSS威脅?
- 2. 如果登錄用戶名會看到不同的看法
- 3. 在沒有XSS威脅的情況下使用eval
- 4. 在WebMatrix中使用剃鬚刀是否可以緩解XSS威脅?
- 5. 輸出會議之後,用戶輸入 - 防止XSS
- 6. 檢查用戶輸入,看它是否滿足兩個條件
- 7. 讓java檢查輸入的行,看它是否只有字母。
- 8. 彗星般的行爲是否會使用node.js構成安全威脅?
- 9. 威脅
- 10. 有沒有在WordPress的方式,只會允許人們查看帖子,如果他們是一個用戶?
- 11. 如果焦點輸入爲空,JQUERY會禁用下一個所有輸入
- 12. 如果輸入不會被存儲在任何地方,是否有任何理由來消毒用戶輸入?
- 13. Unix外殼:我該如何檢查用戶輸入的,看它是否是一個有效的unix命令?
- 14. adldap2-laravel可以看到AD用戶,但不會導入它們
- 15. 如何將一個默認值放入一個'輸入',當用戶按下輸入它會消失?
- 16. HTTPS安全受到威脅
- 17. 如果只有一個失敗,總是不會觸發
- 18. 如何創建一個Facebook應用程序,我可以添加到一個頁面,只有客戶會看到
- 19. 用戶是否可以在同一會話中只看到已提交的數據?
- 20. 如果只有一個條件得到滿足,MultiDataTrigger會觸發
- 21. 看看是否有文字輸入
- 22. 是否有任何理由逃避用戶輸入,如果它只是被哈希和存儲爲密碼?
- 23. 如果我輸入「Ctrl + Z」,它會崩潰,如何修復它?
- 24. 偷「記住我」Cookie是否有效的威脅?
- 25. 當你看到一個基本的Web服務器時,你腦中想到的第一個威脅是什麼?
- 26. 是否JQuery AJAX有一個不同的用戶會話比回發到同一個網站?
- 27. 如果2個節點同時啓動,它們不會互相看到
- 28. 如何創建一個檢查用戶輸入以查看它是否爲現有文件的循環?
- 29. jquery克隆一個輸入不會看到對值的更改
- 30. 如果一個POD包裝在一個類中,它是否會產生相同的效果?
@ 0xAli他不是在談論重定向。他只是說「以直接的方式」 – sameold 2011-06-01 20:32:14
@ 0xAli:我的意思是說,如果用戶注入只有在他自己登錄時才能看到的JavaScript代碼,那有什麼意義呢?他可以使用瀏覽器工具在任何網站上在自己的計算機上運行任意JavaScript。 – Darien 2011-06-01 21:05:03
+1我的壞,我眼睛不好:) – 0xAli 2011-06-02 03:40:48