我们即将推出一个面向公众的网站,安全审核小组已经回来了一个XSS漏洞。它本质上是一个小册子网站 - 没有登录,也没有公开显示用户提交的信息。
XSS仍然是我们应该关注的问题吗?
答案 0 :(得分:2)
是,XSS允许黑客控制您网站上的内容,通常只需要一个函数调用即可修复。修复此问题需要花费较少的精力,而不是将此问题发布到SO上。
让我们说你是福克斯新闻,有人可以使用XSS来制作新闻。此外,它还可用于通过下载攻击向您的用户提供驱动器。在你的情况下,有人可能会创建一个假冒的小册子。
答案 1 :(得分:0)
是的,XSS漏洞无需关注用户数据。它们可用于将您的站点变为恶意软件分发站点。想象一下,攻击者输入一个XSS,弹出警报说“你的计算机可能有病毒”,并开始下载一些诈骗者的假病毒扫描程序。任何陷入骗局的用户都会对你负责。