¿por qué no es seguro usar userdata en los nombres de los parámetros de url?

Navega tus respuestas
2

En el archivo de información de información sobre el contenido del artículo: es seguro colocar datos de usuario en los valores de los parámetros GET cuando se codifican.

Sin embargo, los datos de usuario no deben utilizarse en ningún otro lugar, por lo que no se incluyen en el esquema, el dominio o los nombres de parámetros. Desafortunadamente, no puedo encontrar ninguna pista de por qué sería inseguro en los nombres de los parámetros.

¿Puede alguien mostrarme un ejemplo o una explicación de lo que podría pasar si lo haces? Obviamente, yo todavía usaría la codificación url en el nombre del parámetro.

    
pregunta Myrddin81 21.07.2017 - 09:34
fuente

2 respuestas

1

En el esquema, un atacante podría usar el protocolo javascript para realizar XSS: 

<a href="javascript:alert(1)">click</a>

El protocolo data también podría usarse en ataques.

Aparte de eso, OWASP no está hablando de nombres de dominio o parámetros aquí, ya que esta guía trata estrictamente sobre la defensa contra XSS en diferentes contextos. Sin embargo, dependiendo de su aplicación, es posible que aún desee controlarla, pero eso no es relevante para XSS.

Con respecto a XSS, los nombres de los parámetros no son especiales y se pueden tratar de la misma manera que los valores de los parámetros. OWASP probablemente no los menciona explícitamente porque los nombres de parámetros proporcionados por el usuario no son muy comunes.

    
respondido por el tim 21.07.2017 - 11:44
fuente
0

Los datos del usuario serán visibles en la url, si se pasaron datos esenciales dentro de cualquier control, entonces no es seguro.

    
respondido por el Hemdeep 21.07.2017 - 11:50
fuente

Lea otras preguntas en las etiquetas

¿Usar URI de datos para realizar XSS en etiquetas de anclaje - vulnerabilidad? [duplicar] ¿Puede un cliente VPN instalar un Certificado CA Root para usar en el navegador web?