¿Es este un ejemplo de ataque XSS?

4

Un scripter ve en ciertas páginas web que es técnicamente posible incluir marcas como HTML y CSS / JS. Es técnicamente posible enviar un javascript o iframe y mostrarlo al visitante que ejecuta un javascript que podría ser cualquier javascript. Prácticamente no lo probé, pero podría incluir "errores" que cambiaron los diseños en otras partes de la página. Por ejemplo, podría redecorar el enlace llamado "siguiente" en una lista de paginación para comentarios mediante la publicación de un comentario con CSS y estoy seguro de que si permitiera a los usuarios publicar un código, no les permitiría ejecutar javascript de otro usuario y permitir CSS de un comentario para anular elementos de la página seguramente no es deseado. ¿Estoy hablando de un sitio que tiene una vulnerabilidad para XSS y, por lo tanto, debería aumentar su seguridad? Gracias

    
pregunta Niklas Rosencrantz 16.08.2011 - 21:39
fuente

2 respuestas

8

Sí, eso es exactamente de lo que se habla cuando se habla de las vulnerabilidades de XSS. En el contexto que describió, uno también podría agregar código para redirigir a un usuario a cualquier sitio o presentar un código posiblemente malicioso directamente desde ese sitio web. Es posible cambiar el destino de los formularios de contraseña, publicar cookies en otros sitios web y muchos otros actos maliciosos.

    
respondido por el Jeff Ferland 16.08.2011 - 22:09
fuente
1

Eche un vistazo a esto si no entiende qué es xss. enlace

Puedes probar todas tus cosas xss en demo.testfire.net

Así que abra el navegador de ópera e ingrese esta URL (ejemplo trivial) enlace

Este es un ejemplo de para qué se puede usar xss (para que parezca que ha desfigurado el sitio y le da información incorrecta a un usuario, también se puede usar para desfigurar, pero no lo explicaré aquí).

También puede usar xss para redirigir a un usuario a un sitio malicioso enviándoles una URL de un sitio en el que normalmente confiarían, pero con javascript en la URL que los redirige a otro sitio.

Algo como esto funcionaría publicándolo en la barra de búsqueda: window.location="http://HomePC.MyISP.com"

    
respondido por el dickolopicks 18.03.2013 - 21:09
fuente

Lea otras preguntas en las etiquetas