¿Qué riesgos de piratería tiene un sitio si no tiene cuadros de entrada?

Navega tus respuestas
2

Hace poco publiqué una pregunta acerca de la recuperación del sitio web de ataques XSS, enlace ...

Al investigar un poco más en línea, descubrí que el sitio es vulnerable a XSS si le permite al usuario ingresar información o, en otras palabras, tener cualquier tipo de casilla de entrada en el sitio ( como < em> cuadro de búsqueda, formulario de contacto, publique un comentario, etc. )

Ahora, lo que quiero saber es que:

  • asumiendo que un sitio no tiene cuadros de entrada, ¿sigue siendo vulnerable al ataque XSS, si , entonces cómo?
  • además de XSS, otros ataques de hackeo que un sitio puede enfrentar si no tiene ninguna casilla de entrada para el usuario

Lo sé, es una pregunta bastante amplia, ¡¡solo necesito un heads-up sobre el tema para google !!

PS : publiqué esta pregunta en Stackoverflow y luego me dijeron que esta es una mejor plataforma para hacer esta pregunta, así que enlace a la pregunta: stackoverflow.com/questions/20783204/what-hacking-risks -a-sitio-tiene-si-tiene-no-tiene-cajas de entrada, y es mi primera pregunta aquí, así que por favor ¡¡corrígame para TAGS para esta pregunta!

    
pregunta NoobEditor 26.12.2013 - 14:56
fuente

2 respuestas

6

Aunque un sitio no tenga cuadros de entrada, seguirá procesando la entrada. Ejemplos de estos tipos de entrada son:

  • encabezados HTTP.
  • Valores de las cookies.
  • Valores de cadena de consulta.
  • datos POST.

Si el sitio muestra alguno de estos valores dentro de una página HTML, los valores deben codificarse correctamente para evitar que XSS .

Por ejemplo, si una página muestra los valores de los encabezados User-Agent de todos los visitantes en HTML para enumerar los Los detalles en bruto de todos los navegadores que se han utilizado, un atacante malintencionado podrían configurar su valor de encabezado como código JavaScript malicioso y luego visitar la página que registra los encabezados.

Hay muchos ataques posibles, consulte OWASP Top 10 2013 para ver algunos ejemplos, ninguno de que requieren cuadros de entrada para ser utilizados.

    
respondido por el SilverlightFox 26.12.2013 - 15:19
fuente
4
  

Suponiendo que un sitio no tenga cuadros de entrada, ¿sigue siendo vulnerable al ataque XSS? Si es así, ¿cómo?

La entrada del usuario aún puede provenir de otros lugares en lugar de solo cuadros de entrada (lo que posiblemente cause XSS, inyección de SQL, redireccionamientos del sitio y más):

  1. valores de cadena de consulta
  2. Los valores de formulario (solo porque no tiene formularios no significa que el sitio no acepta POST)
  3. valores de cookie
  4. encabezados HTTP
  

aparte de XSS, otros ataques de hackeo que un sitio puede enfrentar si no tiene ninguna casilla de entrada para el usuario

Vale la pena leer un poco en esta área, hay muchos ataques que considerar. Uno de mis libros favoritos es 19 pecados mortales de la seguridad del software

    
respondido por el jamiescott 26.12.2013 - 15:17
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo identificar en qué computadoras se ha usado una unidad USB? ¿Se puede considerar una vulnerabilidad de seguridad congelar el navegador?