¿Se puede extender este self-XSS?

6

Tengo un cuadro de texto que realiza una llamada a una API cada vez que el texto ha cambiado. La API devuelve JSON pero ejecuta cualquier Javascript dentro del JSON devuelto (probado con Alert ()). El valor de este cuadro de texto no es persistente, por lo que el guardado no da como resultado un XSS almacenado. Si el Javascript se pega en el cuadro de texto, se codifica automáticamente y se procesa de forma segura, solo es vulnerable si se escribe el script.

Aparte de un ataque de phishing en el que el usuario escribe un script en el cuadro de texto, ¿hay otros ataques que se puedan realizar desde este punto? ¿Puede este self-XSS ser encadenado a otro ataque o es esencialmente solo válido para phishing?

    
pregunta iso123 23.11.2016 - 17:42
fuente

1 respuesta

4

No es normal o aceptable que los elementos de la interfaz de usuario ejecuten el JavaScript proporcionado por el usuario. Aunque estos errores pueden ser difíciles de explotar, necesitan ser parcheados porque ejecutando JavaScript malicioso significa toma de posesión completa de la cuenta .

UI Redress (también conocido como clickjacking) se puede utilizar para completar el cuadro de texto. Esta técnica fue utilizada para explotar XSS autoinfligido en google . El elemento de encabezado X-Frame-Options se puede usar para mitigar este ataque.

Los gusanos de javascript autoinflectados se han propagado en Facebook . Los malos siempre están tratando de convencer al usuario para que haga cosas malas. Algunos usuarios están más que felices de dispararse en el pie, el atacante solo tiene que preguntar. Facebook nos ha demostrado que pedirle al usuario que copie / pegue texto malicioso es suficiente para que se propague un gusano.

tldr; arregla tus malditos bichos

    
respondido por el rook 24.11.2016 - 00:26
fuente

Lea otras preguntas en las etiquetas