¿Se puede acceder a la base de datos MySQL de XSS?

3

Me gustaría saber si existe algún peligro de que alguien pueda acceder a la base de datos a través de las vulnerabilidades de XSS en esta página.

Tengo el siguiente enlace. Cuando accede a este enlace, el texto que he incluido como código se muestra en el sitio: www.site.com/languages.php

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["57"]}}

Cambio el enlace a esto y el texto cambia en consecuencia: www.site.com/languages.php?list []

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["","57"]}}

Otra vez cambio el enlace y obtengo este texto correspondiente: www.site.com/languages.php?list Contrat .==a cualquier cosa

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["whatever","57"]}}

Una vez más, realizo el siguiente cambio en el enlace y aparece lo siguiente en la pantalla (todo lo que se muestre en color rojo):

www.site.com/languages.php?list[]=<font color=red>whatever</font>

{"languages":"
\n
<\/a><\/div>\n
English<\/div>\n <\/div>
\n
<\/a><\/div>\n
French<\/div>\n <\/div>
\n
<\/a><\/div>\n
German<\/div>\n <\/div>
<\/div>\n ","Russian":{"html":"
\n<\/a><\/div>","list":["whatever<\/font>","57"]}}
    
pregunta Pamela 04.04.2013 - 08:25
fuente

1 respuesta

2

Es posible acceder a la base de datos con XSS, si un atacante entrega una carga útil XSS a un navegador que tiene acceso a la base de datos. XSS le permite a un atacante controlar un navegador, si ese navegador es un usuario autenticado, entonces un atacante puede realizar acciones como ese usuario autenticado.

    
respondido por el rook 04.04.2013 - 08:50
fuente

Lea otras preguntas en las etiquetas