В чем опасность XSS?

Question

[dimasibirak]

Добрый день уважаемые форумчане, тут задался вопросом, в чем опасность XSS на сайте?
Допустим есть уязвимость в форме ввода логина следующего типа "><script>alert("ok");</script>
Ее же не как нельзя эксплуатировать, понимаю если создавать зараженные страницы, или когда xss присутствует в гостевой книге,комментариях и прочем

Comments

[Lynn «Кофеман»]

Что вы имеете в виду?

Answer 1

[Алексей Уколов]

Уязвимость в форме ввода логина означает, что вы в поле логина можете добавить произвольный скрипт (предположим, кражи кук). И срабатывает она не в этой форме, а везде, где на страницу выводится этот логин (в гостевой книге, комментариях и прочем). И срабатывает не только для вас, а для всех, кто этот логин видит.
В этом, собственно, и заключается опасность XSS: вы получаете возможность выполнять произвольный скрипт от имени пользователя на заражённом сайте.

Comments

[DevMan]

Тема разжована в интернетах до нельзя. И если автор вопроса им задается, значит он хитрая жопа, использующая тостер вместо гуглинга.

[dimasibirak]

DevMan: Именно по этому вопросу информации нет, либо очень хорошо спрятана, то что произвольный js запишется в базу и выполниться там где выведется это и дураку понятно, но если он выводиться только в личном кабинете, то никакой уязвимости по сути нет, вот в этом и заключался вопрос, а хитрая жопа это вы по тому что пишите лишь бы написать и заработать + в карму на тостере

[DevMan]

dimasibirak: ога, а логин юзера выводится только у юзера, да?

Answer 2

[Илья Караваев]

Если логин пользователя с XSS больше нигде не фигурирует, кроме как при логине и отображении в его же личном ЛК, то никакой. Но это частный случай, который можно счесть незначимым. Суть же атаки не в приватном ее использовании, а в публикации ее на страницах других пользователей, что бы получить доступ к данным браузера.

В общем если значение из формы выводится где угодно на сайте, кроме личной ПРИВАТНОЙ (доступной только самому пользователю) страницы пользователя, вы можете не беспокоиться, но если есть вероятность, что вывод подобной информации попадет на глаза другим пользователям или админам, то лучше защититься.

З.Ы. И да, от приведенного Вами кода, никакой угрозы. Но атака делается не для внедрения подобного кода.

Comments

[dimasibirak]

Да я прекрасно понимаю что можно сделать с помощью публикации вредоносного кода, просто xss есть только в форме авторизации, а в форме регистрации уже нет, соответственно и эксплуатировать уязвимость я не могу, так как нужно что код исполнился в браузере жертвы, а воровать свои куки маленько попахивает глупостью:)

[Volodimir Babeshko]

Когда в админке выводится список Логинов для различных целей и если он там неэкранирован, то вполне можно получить админский доступ, если куки не http only, ну или на что дыр хватит

[dimasibirak]

Konstantin Abaiev: Да это-то понятно, xss в форме авторизации, авторизация не чего не пишет в базу, а только сравнивает введенное с данными в базе, получается что эта дыра вовсе не дыра...

[Илья Караваев]

dimasibirak: а это и не дыра. Если вы допустили хранение логина с данными для атаки, то это удачная атака в админку, как сказано выше. И прочие вероятные проблемы в будущем. Если вы используете логин только для сравнения, т.е. только в форме авторизации, то это нельзя назвать уязвимостью. Вы эту уязвимость закрыли на этапе регистрации, возможно.

[Volodimir Babeshko]

dimasibirak: тут ещё никогда не стоит думать, что если на данный момент это не представляет опасности и Вы про это помните и никогда не сделаете никаких изменений в функционале из-за которых данную "особенность" можно каким-либо использовать. Но вот через год уже появиться команда и коллега что-то нафигачить и вуа-ля у Вас дыра на сайте.