¿Pueden las secuencias de comandos entre sitios conducir al acceso a la base de datos?

XSS no compromete el servidor, compromete al cliente.

Básicamente, si su sitio es vulnerable a un ataque XSS, entonces está proporcionando un código dudoso a sus usuarios. El ataque tiene control sobre las acciones de sus usuarios, por lo que tiene acceso a cualquier cosa que hagan sus usuarios.

Entonces, si sus usuarios normalmente no tienen acceso completo a su base de datos, un XSS no le dará ese acceso a un atacante.

Sin embargo, tenga en cuenta que "usuarios" incluye "administradores", por lo que el atacante tiene el poder de un administrador si uno inicia sesión mientras el exploit está activo.

No, con dos advertencias:

1. Realmente no hay ningún detalle en tu pregunta, por lo que es muy difícil ser definitivo.
2. Un atacante puede usar XSS como parte de un ataque más amplio. Si ella puede hacer que el administrador ejecute algo en su máquina a través de XSS, quién sabe a dónde podría llevar eso ...

Como Cloudfeet menciona XSS compromete al cliente y no al servidor, por lo que una vulnerabilidad XSS no le dará acceso directo a la base de datos.

Dicho esto, en el pasado (mientras realizaba una evaluación de vulnerabilidad solicitada de un sitio), pude usar una vulnerabilidad XSS para robar la sesión de un usuario administrativo. Esto me dio acceso a una sección administrativa completa del sitio que no era visible para el usuario promedio. Esta sección permitió la modificación de todas las tablas en la base de datos (excluyendo las tablas del sistema) a través de páginas administrativas.

He encontrado que las secciones administrativas de los sitios a veces recortan los rincones de seguridad porque los administradores son usuarios de confianza. Esto podría significar que hay vulnerabilidades de inyección de SQL. Si este es el caso, entonces puede acceder directamente a la base de datos.

En resumen: no, una vulnerabilidad XSS no le dará acceso directo a la base de datos. Pero en situaciones muy específicas puede llevar a un acceso ampliado a la base de datos.

Si tiene una vulnerabilidad XSS, el atacante puede hacer cualquier cosa que pueda hacer su interfaz de usuario web y acceder a cualquier cosa a la que pueda acceder su interfaz de usuario web. Si su interfaz de usuario web y la API de soporte se construyen de tal manera que otorga acceso directo a la base de datos, entonces sí, el atacante tendría dicho acceso. Si su aplicación no ofrece ninguna oportunidad a través de la interfaz de usuario web y la API de soporte para ejecutar SQL, el XSS no otorgará dicha funcionalidad.

Tenga en cuenta que cualquier cosa en su interfaz de usuario podría aprovecharse para obtener este acceso, incluido, entre otros:

• una característica implementada intencionalmente que le permite al usuario escribir consultas de SQL
• una función que le permite al usuario cambiar la contraseña administrativa y habilitar el inicio de sesión remoto (que otorga acceso al sistema en el nivel de la aplicación, por lo que es solo una cuestión de tiempo antes de que el atacante descubra cómo se conecta el sistema a la base de datos)
• una vulnerabilidad de inyección de SQL accesible a través de la interfaz de usuario
• una función API accesible para la interfaz de usuario web, pero no utilizada por la interfaz de usuario web