Me encontré con este área de texto en el sitio web de un Centro Médico. Los clientes ingresan datos médicos sensibles aquí.
Lo que ven los usuarios:
HTML:
<textareaname="message"><?php echo $_POST['message']?></textarea>
¿Podría ser malicioso / explotable? ¿Cuál es el peor escenario aquí?
No hay peligro en esta parte específica del formulario. Parece que los desarrolladores han escapado accidentalmente de los soportes de PHP de apertura y cierre, haciendo que el código PHP se muestre como está. Ahora, esta instancia de formulario específica no nos permite hacer nada, ya que solo se muestra el texto ...
Pero nos enseña algo muy importante acerca de este sitio: la información del usuario no está correctamente desinfectada .
Esto significa que cualquier tercero malintencionado puede crear una solicitud que contenga scripts arbitrarios del lado del cliente. Este tercero puede convencer a un usuario de visitar su propio sitio web y, a partir de ese sitio web, generar una solicitud POST para este sitio médico vulnerable. Luego, la secuencia de comandos del lado del cliente puede ser ejecutada por el cliente al que se dirige, dentro de la sesión de ese usuario . Si el usuario está conectado al sitio y puede realizar cualquier operación privilegiada (como realizar un pago o interactuar con el contenido del sitio), es posible que pueda hacer que esta acción se realice de mala gana.
Dichos ataques se denominan ataques a sitios cruzados (XSS) y, desafortunadamente, son muy comunes. Consulte esta pregunta en nuestro sitio y Lista de verificación XSS propia de WASP para obtener ayuda con la mitigación de XSS.
En lo que respecta al código independiente, no es dañino, pero si forma parte de un código más grande, podría utilizarse para explotar ataques basados en aplicaciones web.