如果只有同一个用户才会看到XSS输入是威胁吗?

时间:2011-06-01 18:00:08

标签: php security xss user-input

如果他输入的XSS输入只能由他查看,恶意用户究竟能获得什么?他能得到什么吗?

我理解当所有网站用户都会查看恶意用户输入时XSS是如何出现问题的。但是如果每个用户只查看他自己的输入,他的恶意输入将只能由他查看,所以我的问题是:

  • 这会以某种方式间接影响其他用户吗?
  • 他能从中获得什么?

6 个答案:

答案 0 :(得分:6)

攻击者通过查看他发现的xss攻击向量可以获得的效果就是:-)但是!然后他可以使用该攻击向量,有几种方法可以做到这一点。

如果它是非持久性XSS漏洞(又名反映),则可能通过向潜在受害者发送链接(最有可能通过urlshortener进行模糊处理)。 如果它是一个持久的XSS漏洞(即存储为我现在正在撰写的评论),那么他就会发帖并等待。

现在,他能获得的是一个很大的话题。想想如果你可以将脚本标记注入网页,你可以做些什么。然后,您可以从服务器加载整个javascript文件。

然后恶意代码会窃取一些cookie(如果没有设置httponly)并立即将它们通过ajax发布到后端应用程序......这可能会通知攻击者,谁知道......这些cookie可能会足以登录该网站作为受害者。

嗯......攻击者可以做很多事情。所以请消除你可能遇到的所有XSS漏洞。

XSS漏洞主要利用人们对其他网站的信任。 不要低估XSRF漏洞,这些漏洞取决于网站对您的浏览器的信任(另一个重要的话题)和Sql Injection攻击。

一些提示(我确定你知道所有这些,但为了完整起见:

  • 在用于验证用户身份的Cookie中设置httponly
  • 在将用户输入打印回输出时使用htmlentities
  • 在将用户输入存储到数据库之前使用mysql_real_escape_string
  • 不使用GET请求执行关键操作(即保存/删除/修改文章)。对于那些(xsrf)使用POST。
祝你好运!

更新:

一些可以提供帮助的工具:

  • Chrome插件:Websecurify
  • Firefox插件:xss-me
  • Windows应用程序:NetSparker社区版(免费)
  • X-platrofm: SkipFish ,wapiti
  • Nessus的

(我推荐SkipFish)

答案 1 :(得分:2)

我猜不是,但这不是A / B的事情。谁知道“XSS”的“脚本”部分是做什么的。也许攻击者在您的AJAX / javascript中发现了一个漏洞,并且他正在使用XSS类型的攻击来获取主机上的工具包。同样,我们可以推测整天注射型攻击可能造成的伤害,最重要的是,如果你可以抵御它,那么就这样做。我们在这里可以想到的每一个技巧都将是攻击者正在使用的列表中的一个技巧。

准备你能预测的东西,防御已知的东西。

答案 2 :(得分:2)

是的,肯定是。注入可以由第三方发起,如reflected XSS的情况。

答案 3 :(得分:2)

+1 @Gumbo指出 - 反映了XSS,但也考虑了用户帐户遭到入侵的情况,并且攻击者提供恶意输入,当他或她返回时,将向(合法)用户返回该网站。

只是另一个潜在的攻击媒介......

答案 4 :(得分:1)

作为一种直接的威胁......可能一无所获,因为他们无法做到任何事情,他们无法以直接的方式做得更好。

但是无论如何都应该修复它,因为可能需要几个月的线下需求更改,或者新的开发人员重新使用相同的代码然后你就会遇到真正的问题。

答案 5 :(得分:0)

我想你在问:

  1. 可以反映(XSS)代码 对其他访客的影响 分发链接 - 即在测试期间

  2. 此类测试可能具有哪些优势 为恶意用户实现

  3. 如果我正确地读你,我的答案如下:

    1. XSS是关于运行客户端的 代码 - 通常是JavaScript - 在 毫无疑问用户的浏览器和 将有no effect on other users 超越所取得的成就 通过链接分发, 说服用户输入它 直接或找到一种方法 坚持在给定的页面上。

      如果你问是否可以 导致某种形式的命令执行 在服务器上,这将是code injection或命令注入 比XSS;恶意用户会 或者需要足够幸运 发现网站使用 服务器端JavaScript还是坏的 足够的编码,他们是 实际上完全做了些事 不同于他们的想法!

      无论哪种方式,这都需要 网站容易受到这种形式的影响 注射和超出范围 XSS的内容。

    2. 如果我们正在谈论XSS,测试允许 恶意用户正确制作 他们的最终代码/链接就是这样 尽可能隐蔽 无论他们想要什么邪恶的行为 到。

      除非是某人或某个系统 密切注意日志 例如多个奇怪的HTTP请求, 恶意用户将能够 完善他们的利用,以便何时 他们的推文/电子邮件/无论如何 病毒它具有预期的效果。

    3. HTH