¿Cuál es el riesgo de los scripts de sitios cruzados si inserto javascript en un sitio web? Sencillamente, estoy usando un 'creador de sitios', y no permiten rotar imágenes, pero te permiten insertar código ... Así que pensé que lo haría. Mi sitio no tiene una base de datos ni nada, el sitio del 'creador de sitios' puede tener ... ¿Existe algún riesgo?
Es probable que la incorporación de javascript no sea un problema, a menos que incorpore una funcionalidad que permita la creación de scripts entre sitios (su javascript tendría que aceptar alguna información del cliente o mostrarla en la página, u otros datos dinámicos, como algo entregado a su aplicación como parte de una llamada a la API). Aparte de eso, tú eres el que pone el javascript allí, así que supongo que lo has examinado.
Me preocuparía más el software de creación de sitios que está utilizando. Si proporciona el nombre tal vez podríamos buscar vulnerabilidades conocidas.
Si el sitio que está construyendo almacena insumitadamente las entradas de los usuarios (en una base de datos, por ejemplo) y luego las muestra, podría ser vulnerable a XSS.
También si refleja la entrada del usuario que también podría usarse para XSS. Reflejando me refiero a que toma parte de la información del usuario y la muestra de forma insegura en la pantalla inmediatamente sin almacenarla en el lado del servidor. En el ejemplo sería si la siguiente URL:
http://mysite.com/account/[email protected]
salida:
Gracias por confirmar su cuenta con el correo electrónico: [email protected]!
Dependiendo de lo que haga el script que está incrustando, podría haber algún riesgo, pero probablemente esté bien.
Las fallas de XSS generalmente aparecen en escenarios donde su página obtiene contenido no confiable de un tercero. Pueden ser argumentos GET o POST, datos de una base de datos, encabezados HTTP, etc.
En este caso, suena como si estuvieras tirando de un fragmento de código javascript a tu página html. Aquí hay dos cosas que deberían preocuparte:
¿Confío en este javascript? Eche un vistazo al javascript y asegúrese de que no esté haciendo nada sospechoso.
¿Este javascript extrae algún código o datos externos? Intente comprender si el javascript se está comprando en otros archivos de javascript o está buscando datos externos desde el navegador o el usuario.
Si la respuesta a ambas preguntas es no, entonces es probable que estés listo.
Nota: si está activando el javascript con una etiqueta src, debe pensar en dónde desea alojar ese archivo. Si obtiene una fuente fuera de un servidor que no controla, ese archivo podría cambiar en el futuro y volverse malicioso o inestable.
Los ataques de scripts entre sitios (XSS) funcionan porque el atacante inserta JavaScript en datos comunes y no tiene casi nada que ver con el uso de JavaScript en su sitio. La cura para XSS es sanear sus datos antes de almacenarlos o mostrarlos. Nunca permita que el usuario ingrese algo que pueda hacerse eco inmediatamente.
JavaScript en tu sitio no hará daño o te ayudará a defender contra XSS.
Lea otras preguntas en las etiquetas xss javascript