Vulnerabilidades de seguridad y riesgos para un sitio web de información solamente (XSS)

2

Mi sitio web es solo un sitio de información y toda la información está disponible para todos aquellos que visitan el sitio web.

No hay datos sensibles. Y no almacenamos ningún dato enviado por el usuario ni hay cuentas de usuario \ inicio de sesión. No hay formularios para el mismo y los que están disponibles son en su mayoría valores desplegables con una excepción de unos pocos.

Teniendo en cuenta todo esto, ¿qué importancia tiene la seguridad en mi sitio web y cuáles son los ataques que debo tener en cuenta?

La mayoría de ellos en el informe se encuentran en la siguiente categoría. Creo que todo lo que tenemos que hacer aquí es asegurarnos de que todos los formularios no acepten contenidos con etiquetas html.

Secuencias de comandos reflejadas entre sitios (XSS)

¿Alguna ayuda?

    
pregunta Chillax 29.07.2016 - 01:16
fuente

1 respuesta

2

Daño de XSS en el sitio web de información solamente

Sí, XSS es un problema incluso en un sitio web de información sin cuentas de usuario o información personal.

Que puede pasar:

  • Phishing : es cierto, un atacante no puede intentar obtener información específica de su sitio web, como las credenciales de inicio de sesión, ya que no existen. Pero, dependiendo de su sitio web, aún pueden explotar la confianza que un usuario tiene en su sitio para recopilar información del usuario.
  • Desaparición : un atacante puede cambiar el aspecto de su sitio web de la forma que desee. Pueden agregar información falsa, pueden agregar imágenes inapropiadas, etc. Dependiendo de su sitio web, esto puede tener ramificaciones bastante grandes.
  • Abrir redireccionamiento : se puede usar en ataques de phishing.
  • Descargas por unidad : un atacante puede explotar los problemas en el navegador que conduce a las descargas por unidad o puede agregar enlaces a archivos dañinos a su sitio web.

Como puede ver, el daño se debe a dos cosas:

  • Un usuario tiene confianza en su sitio web, que puede ser explotado para perjudicar al usuario (pero no a su sitio web).
  • XSS puede utilizarse para dañar la imagen de su sitio web y, por lo tanto, la imagen de su organización.

También debes tener en cuenta que:

  1. Su sitio web puede cambiar, y luego puede incluir un área de usuario o un área de administración.
  2. Es posible que haya otras aplicaciones en el mismo dominio, que sí tienen dichas áreas, que de este modo pueden explotarse a través de XSS en esta aplicación.

Defensa contra XSS

  

Creo que todo lo que tenemos que hacer aquí es asegurarnos de que todos los formularios no acepten contenidos con etiquetas html.

En realidad no. Para conocer las defensas contra XSS vea OWASP.

No aceptar etiquetas HTML puede no ser suficiente, piensa en <img src="[USER_INPUT]"> .

Otros riesgos para los sitios web de información solamente

  

Teniendo en cuenta todo esto, ¿qué importancia tiene la seguridad en mi sitio web y cuáles son los ataques que debo tener en cuenta?

La seguridad sigue siendo relevante, incluso para sitios web de información solamente.

Probablemente no desee que un atacante obtenga el control completo de su servidor, por lo menos, estos son problemas que debería preocuparle:

  • Inyección: la Inyección SQL se puede usar para DOS en su servidor y, según las especificaciones, un atacante puede obtener el control de su servidor con él. La inyección de comandos del sistema operativo obviamente también es relevante, realmente no desea que un atacante tenga el control completo de su servidor.
  • Cargas de archivos inseguras: definitivamente no desea que las personas suban ningún archivo que quieran.
  • Otras vulnerabilidades que atacan el servidor también pueden ser relevantes, como XXE, Object Injection, DOS en general,

Cualquier vulnerabilidad que esté vinculada a la autenticación o autorización, como la autenticación rota, la referencia directa insegura a objetos, etc. probablemente no sea relevante para usted, al menos por ahora.

    
respondido por el tim 29.07.2016 - 13:42
fuente

Lea otras preguntas en las etiquetas