¿Puede un Documento HTML generado por el CMS de un administrador ser considerado confiable y no vulnerable a XSS?

2

Actualmente, estoy trabajando en un CMS / Framework que desarrollé similar a Wordpress, en el sentido de que es una plataforma para que los administradores creen / publiquen contenido para los usuarios.

Estoy guardando el HTML generado por los campos del editor en mi base de datos y enlazando el HTML dentro de mi respuesta JSON en el cliente para que se muestre una vez que se recupere. Sin embargo, muchas veces, se realiza una gran cantidad de desinfección para mostrar el HTML para proteger contra los ataques XSS. Lo cual definitivamente entiendo por qué.

Sin embargo, en este caso donde el administrador del sitio está generando el contenido. Siempre que los administradores tomen otras medidas de seguridad (como proteger sus cuentas con contraseñas seguras y sus servidores) y no sean malintencionados, es seguro decir que el HTML es confiable y que no debe considerarse vulnerable. a XSS correcto? Pronto escribiré documentación sobre el marco, y me gustaría comentar algunas de las advertencias que pueda tener el marco, para que los desarrolladores estén al tanto.

Cualquier consejo sería apreciado. O si hay algún otro agujero de seguridad importante que deba vigilar, hágamelo saber.

¡Gracias!

    
pregunta Torch2424 14.03.2017 - 16:49
fuente

1 respuesta

2

Si por "administrador" te refieres a la persona con todos los derechos, entonces esto está bien y no se considera una vulnerabilidad. Si también tiene un "superadministrador" más privilegiado, entonces el administrador podría elevar sus privilegios a superadministrador a través de XSS.

Hay algunas vulnerabilidades cuyo impacto se vería incrementado por esto. Por ejemplo, CSRF ahora tendría todo el poder de XSS.

También debe documentar esto (WordPress, por ejemplo, también lo documenta), para que la gente lo sepa (y así no reciba informes sobre problemas que no considera vulnerabilidades).

    
respondido por el tim 14.03.2017 - 18:42
fuente

Lea otras preguntas en las etiquetas