0
公開サイトを立ち上げようとしています。セキュリティレビューチームにXSSの脆弱性が戻ってきました。本質的にはパンフレットサイトです。ログインはなく、ユーザーが投稿した情報は公開されていません。サイトでユーザーのログインが許可されていない場合、XSSは依然として危険ですか?
XSSはまだ気にする必要がありますか?
A
答えて
2
はい XSSを使用すると、ハッカーはサイトのコンテンツを制御することができ、通常は修正のための単一の関数呼び出しを行います。あなたにこの質問を投稿するよりも、この問題を解決するのに必要な労力が少なくて済みます。
あなたはフォックスニュースだと言って、誰かがXSSを使ってニュースを作ることができます。さらに、それはあなたのユーザーにダウンロード攻撃によってドライブを提供するために使用することができます。あなたのケースでは、誰かが不当な主張で偽のパンフレットを作成する可能性があります。
0
はい、XSSの脆弱性をユーザーデータに絞る必要はありません。サイトをマルウェア配布サイトに変えるために使用できます。攻撃者がXSSに「あなたのコンピュータにウイルスがあるかもしれない」という警告をポップアップし、詐欺師の偽のウイルススキャナのダウンロードを開始すると想像してください。あなたは、詐欺に陥ったすべてのユーザーによって責められます。
関連する問題
- 1. XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか?
- 2. セキュリティ例外は、これらの許可は新しいアクセス許可ごとなど危険な許可されているので、これはAndroidの6
- 3. AndroidのMテストREAD_PHONE_STATE(危険なアクセス許可)の許可
- 4. jsFiddleは危険なしにユーザー定義のJavaScriptをどのように許可して実行しますか?
- 5. 危険ですか?イベントについて
- 6. コピーコンストラクタがプライベートで実装されていない場合、RVOは許可されていますか?
- 7. 危険なテキストを評価するのは危険ですか?
- 8. パフォーマンスの最適化:ヌルは、パフォーマンス対許可されていない/許されていない場合、キー
- 9. ユーザーがログインしていない場合は登録ページにリダイレクト
- 10. ChromeでAjaxの許可ドメインが許可されていない
- 11. adminユーザーがログインしていない場合のみ、Railsアクション/フラグメントキャッシュ
- 12. ユーザーが別のサイトにサインアップしている場合はphpbb3登録を許可します
- 13. JS関数でJS関数を渡すXSSの危険性は何ですか?
- 14. オープンソースサービスは危険ですか?
- 15. instanceofは危険ですか?
- 16. アプリケーションからコアの場所が削除されましたが、依然としてユーザーの場所が要求されています
- 17. フレームがサイトに表示されていない場合はリダイレクト
- 18. RootFolderがMyComputerの場合、FolderBrowserDialogがデスクトップをSelectedPathとして許可しないのはなぜですか?
- 19. ユーザーを認証する次のOAuthプロセスは、依然としてTwitterでサポートされていますか?
- 20. CSRF免除はどのような場合に危険ですか?
- 21. HTMLPurifierは依然として許容属性を取り除いています
- 22. JSF 2.0 - ユーザーがログインしていない場合の確認とリダイレクト
- 23. フォームは検証されましたが、依然として値なしで送信していますか?
- 24. PHP XSSの質問 - 危険なページに何も出力しないGETパラメータですか?
- 25. 突然とunreproducable「潜在的に危険なRequest.Path値」
- 26. &oacute; xmlファイルでは許可されていませんが、.netリソースファイルで許可されていますか?
- 27. スクリプトがHTMLテキストエリアに表示されている場合、XSS攻撃は可能ですか?
- 28. ヘルプは、危険な
- 29. ログインしていない場合、ユーザーをリダイレクト
- 30. Webアプリケーション:サーバーとの通信が許可されている場合
ユーザーがデータを送信できない場合、XSSは不可能です。 –
非永続攻撃はどうですか?つまり、サイト上の脆弱なページにURLを作成し、別のユーザーにそのURLを訪問させて情報を盗もうとするのではないでしょうか? – ScottE
@Kirk Woll、セキュリティチームが悪用された場合、このサイトではおそらく可能性があります。 –