4
如果他输入的XSS输入只能由他看到,恶意用户究竟能获得什么?他有什么可以获得的?如果只有同一个用户会看到它,XSS是否会输入威胁?
我理解当恶意用户输入将被所有网站用户查看时,XSS是如何产生问题的。但是,如果每个用户仅查看他自己的输入,他的恶意输入将仅由他查看,所以我的问题:
- 这可以以某种方式间接影响其他用户吗?
- 他能从中获得什么?
A
回答
6
什么攻击者可以通过观察,他发现作品中的XSS攻击向量获得,就是这样:-)但是!然后他可以使用那个攻击媒介,并且有几种方法可以做到这一点。
如果这是一个非永久性的XSS漏洞(又名反映),那么可能通过向潜在受害者发送一个链接(很可能通过urlshortener进行混淆)。 如果这是一个持续存在的XSS漏洞(即像我现在写的评论那样存储),那么他只会发布自己的帖子并等待。
现在,他所能获得的是一场大谈。只要想一想,如果可以将脚本标记插入到网页中,您可以做些什么。然后你可以从你的服务器加载一个完整的JavaScript文件。
恶意代码可能会窃取一些cookie(如果这些cookie没有设置为httponly),并立即通过ajax将它们发布到后端应用程序......这可能会通知攻击者以及谁知道......这些cookie可能足以满足作为受害者登录该网站。
好吧..攻击者可以做很多事情......所以请消除您可能拥有的所有XSS漏洞。
XSS漏洞主要利用人们对其他网站的信任。 不要低估XSRF漏洞,这些漏洞取决于网站对您的浏览器的信任度(另一个大谈话)以及Sql Injection攻击。
一些提示(我敢肯定你知道有关它的一切,但为了完整起见:
- 在cookie中的HttpOnly设置使用打印用户输入时对用户进行认证
- 使用ヶ辆回你的输出前
- 使用mysql_real_escape_string存储用户输入到你的数据库
- 不执行关键操作(即保存/删除/修改文章)使用GET requests..use POST那些(XSRF)。
祝你好运!
UPDATE:
一些工具,可以帮助:
- Chrome的插件:Websecurify
- Firefox插件:XSS-我
- Windows应用程序:NetSparker社区版(免费)
- X-platrofm:SkipFish,马鹿皮
- Nessus
(我建议SkipFish)
2
我想不是,但这不是一个A/B的东西。谁知道该“XSS”的“脚本”部分是做什么的。也许攻击者在你的AJAX/javascript中发现了一个漏洞,并且他正在使用XSS类型的攻击来获得主机上的工具包。再次,我们可以推测整天注入式攻击会造成什么样的危害,但底线是如果你能够抵御它,就这样做。我们在这里可以想到的每一个技巧都会成为攻击者使用的列表中的一个技巧。
准备好你可以预测的东西,对抗已知的东西。
1
作为一种直接威胁...可能没有什么,因为他们无法完成任何事情,他们无法以直接的方式更轻松地完成任务。
但无论如何它应该是固定的,因为有可能几个月后线路需求发生变化,或者新开发人员重新使用相同的代码,然后出现真正的问题。
2
是的,它绝对是。注射可以由第三方发起,如reflected XSS的情况。
2
@Gumbo指出的+1(反映XSS),但也考虑到用户帐户被入侵的情况,并且攻击者提供恶意输入,当他或她返回时将返回给(合法)用户到现场。
又一个潜在的攻击向量...
0
我想你问:
能反映(XSS)的代码有 对其他游客的影响之前 分配环节 - 即测试期间
和
什么是adva ntage这样的测试可以 达到恶意用户
如果我正确地读你,我的回答会是如下:
XSS是有关运行客户端 码 - 通常是JavaScript - 在 毫无戒心的用户浏览器和 将有no effect on other users 超出了通过 分发它通过链接, 说服用户输入它 直接或找到一个方法,以 坚持在给定的页面。
如果你问它是否能够 导致某种形式的命令执行 的服务器上,这将是code injection或命令注入,而不是 XSS;恶意用户将 要么需要将有幸 发现该网站使用 服务器端JavaScript或坏 足够的编码,他们是 实际上做的东西,他们想什么完全不同 !
无论哪种方式,这将需要 网站容易受到这种形式 注入和超出范围 什么XSS是关于。
如果我们谈论的XSS,测试允许 恶意用户正确手艺 他们的最终代码/链接,它是作为 隐蔽越好,确实 他们想让它 到任何坏事。
除非有人或某个系统是 请注意日志 ,例如,多个奇怪的HTTP请求, 恶意用户将能够 完善他们的利用,以便当他们的推文/电子邮件/ 病毒 它有理想的效果。
HTH
相关问题
- 1. 在URL中编码JSON时是否存在任何XSS威胁?
- 2. 在没有XSS威胁的情况下使用eval
- 3. 输出会议之后,用户输入 - 防止XSS
- 4. 在WebMatrix中使用剃须刀是否可以缓解XSS威胁?
- 5. 检查用户输入,看它是否满足两个条件
- 6. 有没有在WordPress的方式,只会允许人们查看帖子,如果他们是一个用户?
- 7. 如果焦点输入为空,JQUERY会禁用下一个所有输入
- 8. 如果我只将JSON发送到我的服务器,CSRF会构成威胁吗?
- 9. 如果输入不会被存储在任何地方,是否有任何理由来消毒用户输入?
- 10. adldap2-laravel可以看到AD用户,但不会导入它们
- 11. 如何将一个默认值放入一个'输入',当用户按下输入它会消失?
- 12. 如果只有一个失败,总是不会触发
- 13. 用户是否可以在同一会话中只看到已提交的数据?
- 14. 如果我输入“Ctrl + Z”,它会崩溃,如何修复它?
- 15. 是否JQuery AJAX有一个不同的用户会话比回发到同一个网站?
- 16. C函数不会等待任何输入,但会检测是否有输入?
- 17. 当你看到一个基本的Web服务器时,你脑中想到的第一个威胁是什么?
- 18. 输出用户输入 - 防止xss
- 19. 如何使用数据验证来允许用户只输入一个整数,否则当输入一个小数时会输出一个错误
- 20. 如果输入xml超过100MB,xmlDocument.Load是否会被重载?
- 21. 是否有可能有一个用户输入排序
- 22. 如何增加一个计数器只有当它是一个新的会话?
- 23. CodeIgniter + QuickAuth +一个用户,只有一个会话
- 24. 当输入一个数字时,它不会识别“intQuantity”值,只是假设它的所有true =/
- 25. 如何创建一个while循环来询问用户是否要继续,如果不是,它会中断?
- 26. 这个字体是否会被所有人看到?
- 27. Laravel Voyager:如果用户是admin,只能看到一个菜单项
- 28. 表时,才会有一个输入
- 29. 输入日期,它会自动知道它是哪一天
- 30. C++如何比较2个整数,看看它们是否相等?一个是用户输入,另一个是结构的一部分?
@ 0xAli他不是在谈论重定向。他只是说“以直接的方式” – sameold 2011-06-01 20:32:14
@ 0xAli:我的意思是说,如果用户注入只有在他自己登录时才能看到的JavaScript代码,那有什么意义呢?他可以使用浏览器工具在任何网站上在自己的计算机上运行任意JavaScript。 – Darien 2011-06-01 21:05:03
+1我的坏,我眼睛不好:) – 0xAli 2011-06-02 03:40:48