Con respecto a los ataques de secuencias de comandos entre sitios

No podemos decir si es vulnerable o no.

En la protección contra ataques XSS almacenados (aunque lo mismo se aplica a los ataques reflejados) hay 2 etapas clave en las que se debe aplicar la protección. Cuando los datos se presentan a su sistema y cuando los presenta a otros sistemas. Si sabe que tiene una protección en su lugar que debería rechazar los ataques pontenciales de XSS en la carga, entonces parece que está fallando. Si tiene protección en los canales de salida, es posible que esto no sea explotable. Pero no sabemos cuál de estos tiene en su lugar.

Debería ver cómo estos datos dejan su sistema para establecer si esta vulnerabilidad potencial puede ser explotada.

Se ha compartido una buena práctica para manejar la carga de usuarios en esta publicación en el blog de seguridad de google : explica las dificultades comunes y algunos pasos de defensa adicionales. Déjame resumir aquí:

Codifique su salida para su contexto: Asegúrese de tener la codificación de salida adecuada con un algoritmo diferente para el contexto. Debe tener diferentes prácticas de desinfección para cada HTML, atributos HTML, JSON, etc.

Sirve contenido de usuario de un dominio diferente: En primer lugar, siempre es aconsejable servir contenido de usuario de un dominio diferente. Google usa googleusercontent.com y seguramente encontrará una inversión barata en su seguridad. La Política del mismo origen te ayuda aquí, ya que un XSS, el dominio menos importante, no puede llegar a tu dominio principal.

Si el usuario pudo cargar una cadena maliciosa en un archivo o en lugar de un archivo: es vulnerable .

Debe tener una validación (especialmente en el lado del servidor) para estar seguro de los datos que carga en su base de datos. En general, debe validar y desinfectar cada entrada de datos.

Lea más sobre Prevención XSS y sobre API de seguridad empresarial OWASP , que está disponible para Java, PHP y otras plataformas de aplicaciones web populares.