¿Las cadenas de traducción proporcionadas por el usuario son un vector de ataque?

1

Twitter y varias otras empresas web permiten a los usuarios ayudar a traducir La interfaz de usuario en su idioma.

  

Las traducciones de crowdsourcing no son nuevas para nosotros. Desde octubre de 2009, contamos con usuarios de Twitter para ser voluntarios como traductores y ayudarnos a localizar Twitter.

Una plantilla HTML probablemente sustituya las cadenas del idioma primario delimitadas con las del lenguaje de salida. Dado que las cadenas de idioma de salida provienen de una fuente no confiable, podrían contener una carga útil para explotar una vulnerabilidad XSS o, si los resultados aparecen en las fuentes, un ataque de entidad XML o similar.

¿Alguien sabe si tales ataques han aparecido en la naturaleza?

    
pregunta Mike Samuel 13.01.2012 - 18:37
fuente

1 respuesta

1

Obviamente necesitan ser saneados / codificados. Pero no veo cómo es más vulnerable a XSS y similares que otros datos proporcionados por el usuario.

Me preocuparía más por los mensajes que significan que se sustituye algo diferente en ese otro idioma. Se podría usar para ingeniería social o para disminuir la reputación de su sitio web insertando contenido inapropiado o insultante.

    
respondido por el CodesInChaos 15.01.2012 - 00:44
fuente

Lea otras preguntas en las etiquetas