¿Qué tan peligrosas son las cadenas de consulta de solicitud reflejadas?

Navega tus respuestas
2

He descubierto una posible falla de seguridad en el inicio de sesión de un sitio en el que muchas personas confían. No diré el sitio, pero en la URL hay algo similar a 

/Success?message=Success+please+wait+a+bit+for+results

/Failure?message=Failure+Please+try+again

Lo sé todo acerca de XSS, y no se puede incrustar JavaScript incluso con engaños, pero aún así se imprime lo que pusiste en la consulta del mensaje.

Creo que esto podría ser usado en ataques de ingeniería social

¿Qué tan peligroso es esto? (PUEDE ser enlazado)

    
pregunta Kevin Froman 27.08.2015 - 10:41
fuente

1 respuesta

1

Puedes alojar todos los correos electrónicos de phishing allí. Por ejemplo:

  

Hemos detectado comportamientos sospechosos en su cuenta. Todas las solicitudes de inicio de sesión de Furthur serán denegadas. Utilice el formulario de inicio de sesión alternativo en enlace para iniciar sesión de forma segura y desbloquear su cuenta.

    
respondido por el user23013 27.08.2015 - 11:02
fuente

Lea otras preguntas en las etiquetas

Definición del sistema de prevención basada en host Usando niveles separados de HAProxy y API, ¿cómo puedo asegurar que una solicitud proviene de HAProxy?