Falsa XSS en la barra de búsqueda [cerrado]

Navega tus respuestas
3

Estaba hurgando en uno de los programas menos conocidos de Google, Build with Chrome , cuando noté algo bastante divertido con su barra de búsqueda. Cuando escribe la carga útil XSS estándar <script>alert(1);</script> , la notificación aparece como si el sitio fuera vulnerable a XSS. Pero aquí está lo gracioso. Si lo cambias en absoluto (como <script>alert(2);</script> ), entonces no sucede nada.

Después de analizar esto, lo único que se me ocurre es que algún desarrollador que se burlaba de Google pensó que sería divertido enviar a un grupo de personas por un camino de conejitos, e insertó una declaración if en la búsqueda que decía si alguien buscó <script>alert(1);</script> , mostraría una notificación con '1'. ¿Es esta una sabia práctica de seguridad?

Me parece que hay dos lados en esto. Por un lado, si los atacantes están tan enfocados en una vulnerabilidad falsa, será menos probable que encuentren los reales. Pero, por otro lado, apuesto a que Google ha recibido más de mil informes para el programa de recompensas de errores solo por esta vulnerabilidad. Esto hace que sea más difícil extraer los buenos informes.

Entonces, aquí está mi pregunta: ¿es una buena práctica de seguridad usar vulnerabilidades falsas para protegerse, o es más trabajo de lo que ahorra?

    
pregunta Kernel Stearns 20.03.2017 - 22:39
fuente

1 respuesta

1

En cierto modo, esto es bastante similar (en 'efecto' y en intención) a ejecutar un honeypot: obtienes un aviso anticipado de quién podría estar hurgando y, hasta cierto punto, obtiene cierta información sobre sus capacidades (obviamente, en este caso, no aprendes todos mucho).

También puede permitir a los atacantes de perfiles hasta cierto punto: los actores no sofisticados seguirían adelante (porque su secuencia de comandos de escaneo comprueba un montón de cosas antes de escupir un informe), o si un humano estaba en el teclado, tal vez haga lo que quiera. lo hizo, y probó algunas cosas (en cuyo caso, de hecho, puede apostar a que sus pruebas habrían hecho que sus actividades se "analizaran" un poco más de cerca).

Los actores sofisticados pueden tener un script que haga un seguimiento de tal resultado, que podría exponer los detalles de su script (o pensamiento).

Por lo tanto, asumo que no es "solo" que un dev se divierta, es casi seguro que hay algún tipo de propósito para esto (puede ser que ese propósito se definió después del hecho, pero aún así).

Y sí, considerado como una especie de honeypot, tendería a pensar que vale la pena en general, estoy seguro de que es bastante fácil crear filtros para cualquier informe que pueda generar.

    
respondido por el iwaseatenbyagrue 21.03.2017 - 14:07
fuente

Lea otras preguntas en las etiquetas

¿Se considera comprometida una clave PGP secreta si llega a la red? ¿Necesito un valor aleatorio "criptográficamente seguro" para una URL no descargable?