XSS - ¿Qué tan grave puede ser? [duplicar]

4

Solo me pregunto acerca de los ataques XSS. Digamos que tengo un sitio web normal, pero muestra algunas cosas basadas en las variables $ _GET. El sitio web no tiene un sistema de inicio de sesión, lo que todos los usuarios pueden hacer es navegar por diferentes páginas que son dinámicas. En este escenario, ¿qué es lo peor que alguien puede hacer?

Una pregunta más importante para mí, sin embargo, es esta. Digamos que mi sitio web está en mi carpeta public_html, dentro de su propia carpeta. Así que la url podría verse algo como esto

  

www.mysite.com/siteA/index.php

Digamos que el sitio A es vunerable para XSS. Ahora en la carpeta public_html, tengo diferentes sitios y formularios dentro de su propia carpeta. Así que podría tener

  

www.mysite.com/siteB/index.php

Si el sitio A es accesible, ¿pueden hacer algo con el sitio B?

Gracias

    
pregunta Nick Price 10.02.2016 - 17:37
fuente

3 respuestas

7

XSS no es un ataque a tu aplicación; Es un ataque a los usuarios de tu aplicación. Como regla general, no existe una amenaza específica para el servidor de XSS.

Como tienes una aplicación bastante simple, no sufres de algunos de los problemas más destacados que generalmente crea XSS, como robar tokens de autenticación y ejecutar maliciosamente la funcionalidad del sitio, eso no significa que no estés en riesgo en absoluto.

La mayor amenaza restante es la de un ataque de un pozo de agua. Es decir, su sitio ahora puede usarse como un vector para atacar a los usuarios que confían en él. Si su sitio es susceptible a XSS reflexivo, entonces un atacante puede crear enlaces que sean legítimos para su sitio, en los que sus usuarios confiarán, pero cuando los usan para acceder a su sitio, XSS inyectará malware en sus sistemas.

Esto ya no es un problema tan grande, con la introducción de la protección XSS en los principales navegadores, pero no confiaría solo en esto para proteger a sus usuarios. Escape de la entrada del usuario que se refleja para evitar XSS en primer lugar.

    
respondido por el Xander 10.02.2016 - 18:04
fuente
2

Si eres vulnerable a XSS. El atacante puede ejecutar cualquier código que puedas. Podría robar (sesión-) cookies, editar el DOM y crear una página de phishing, enganchar el BEF-framework sobre víctimas, ... Y debido a que está utilizando GET, podría crear la URL y sus parámetros para incluir la carga maliciosa y enviarla a cualquier persona. Cualquiera que abra ese enlace ejecuta el script malicioso.

Lea este documento para mucha información y ejemplos.

También tenga en cuenta que hay diferentes tipos de XSS .

  • Persistente: se produce cuando, por ejemplo, almacena las entradas de usuario en una base de datos, para mostrarlas más tarde (chats, foros, ...). De esta manera, el atacante puede inyectar su carga útil y permanecerá allí hasta que el webmaster lo encuentre.
  • No persistente: No se guardó. Solo ejecutado en esa sesión. A menudo, poniendo la carga útil en los parámetros de URL. Cargando URL con esos parámetros = disparando carga útil.
  

Si el sitio A es accesible, ¿pueden hacer algo con el sitio B?

Debido a que está bajo el mismo dominio, creo que el navegador ve sus sitios web "diferentes" como uno solo. Así a través de A las cookies de B pueden ser robadas. Pero no me metas en eso.

    
respondido por el O'Niel 10.02.2016 - 18:02
fuente
2

Hay un marco de explotación XSS llamado BeEF que permite una serie de diferentes tipos de ataques una vez que se puede colocar un "gancho" usando XSS (u otros medios). Muestra una lista de navegadores enganchados y luego le da al atacante varias formas de atacarlos.

Algunos de estos ataques incluyen phishing para nombres de usuario / contraseñas de gmail que usan pantallas de inicio de sesión muy convincentes (pero falsas), lo que les pide a los usuarios que descarguen lo que parecen ser actualizaciones de software legítimas que realmente son cargas útiles de malware y otros ataques. Por lo tanto, si bien es posible que no haya muchos ataques contra su sitio en particular, su sitio podría usarse para lanzar ataques contra otras cuentas personales y equipos de sus usuarios.

Puede ver un video de demostración interesante aquí .

    
respondido por el Abe Miessler 10.02.2016 - 18:14
fuente

Lea otras preguntas en las etiquetas