0
公開サイトを立ち上げようとしています。セキュリティレビューチームにXSSの脆弱性が戻ってきました。本質的にはパンフレットサイトです。ログインはなく、ユーザーが投稿した情報は公開されていません。サイトでユーザーのログインが許可されていない場合、XSSは依然として危険ですか?
XSSはまだ気にする必要がありますか?
A
答えて
2
はい XSSを使用すると、ハッカーはサイトのコンテンツを制御することができ、通常は修正のための単一の関数呼び出しを行います。あなたにこの質問を投稿するよりも、この問題を解決するのに必要な労力が少なくて済みます。
あなたはフォックスニュースだと言って、誰かがXSSを使ってニュースを作ることができます。さらに、それはあなたのユーザーにダウンロード攻撃によってドライブを提供するために使用することができます。あなたのケースでは、誰かが不当な主張で偽のパンフレットを作成する可能性があります。
0
はい、XSSの脆弱性をユーザーデータに絞る必要はありません。サイトをマルウェア配布サイトに変えるために使用できます。攻撃者がXSSに「あなたのコンピュータにウイルスがあるかもしれない」という警告をポップアップし、詐欺師の偽のウイルススキャナのダウンロードを開始すると想像してください。あなたは、詐欺に陥ったすべてのユーザーによって責められます。
関連する問題
- 1. XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか?
- 2. 危険なアクセス許可のダイアログボックスが表示されない
- 3. Androidスタジオ危険な許可
- 4. セキュリティ例外は、これらの許可は新しいアクセス許可ごとなど危険な許可されているので、これはAndroidの6
- 5. 私のサイトは危険にさらされています
- 6. Android Mはマニフェストに記載されているすべての危険なアクセス許可を取得します
- 7. setで可変オブジェクトが許可されていない場合、なぜリストを許可するのですか?
- 8. AndroidのMテストREAD_PHONE_STATE(危険なアクセス許可)の許可
- 9. Laravel:HTMLタグが許可されている場合、XSSに対するユーザー入力のサニタイズ
- 10. 危険ですか?イベントについて
- 11. jsFiddleは危険なしにユーザー定義のJavaScriptをどのように許可して実行しますか?
- 12. 危険なテキストを評価するのは危険ですか?
- 13. 私のbackbone.jsは危険にさらされていますか?
- 14. スウィフト - 許可されていない場合はコアのロケーション要求許可
- 15. コピーコンストラクタがプライベートで実装されていない場合、RVOは許可されていますか?
- 16. ログインしていないユーザーのアクセス許可をシミュレートします
- 17. このstatic_castについては何が危険ですか?
- 18. android.permission.WRITE_SETTINGSどのような種類の許可ですか?危険な?
- 19. パフォーマンスの最適化:ヌルは、パフォーマンス対許可されていない/許されていない場合、キー
- 20. Travis-CIでのロケールの設定(sudoが許可されていない場合)
- 21. ChromeでAjaxの許可ドメインが許可されていない
- 22. twilioでユーザーのカスタムパラメータが許可されていますか?
- 23. これは私のRailsアプリケーションにとって危険ですか?
- 24. ユーザーがログインしていない場合は登録ページにリダイレクト
- 25. JS関数でJS関数を渡すXSSの危険性は何ですか?
- 26. ログインしたユーザのFirebaseマッピング - 許可されていないエラー
- 27. オープンソースサービスは危険ですか?
- 28. instanceofは危険ですか?
- 29. ユーザーがログインしていない場合のページのリダイレクト
- 30. adminユーザーがログインしていない場合のみ、Railsアクション/フラグメントキャッシュ
ユーザーがデータを送信できない場合、XSSは不可能です。 –
非永続攻撃はどうですか?つまり、サイト上の脆弱なページにURLを作成し、別のユーザーにそのURLを訪問させて情報を盗もうとするのではないでしょうか? – ScottE
@Kirk Woll、セキュリティチームが悪用された場合、このサイトではおそらく可能性があります。 –