我有一个文本框,每次文本更改时都会调用 API。API 返回 JSON,但在返回的 JSON 中执行任何 Javascript(使用 Alert() 测试)。此文本框值不是持久的,因此保存不会导致存储的 XSS。如果将 Javascript 粘贴到文本框中,它会自动编码并安全呈现,只有在输入脚本时才会受到攻击。
除了用户在文本框中输入脚本的网络钓鱼攻击之外,还有其他可以从这一点执行的攻击吗?这种自我 XSS 是否可以被链接到另一个攻击,或者它本质上只对网络钓鱼有效?
这个self-XSS可以扩展吗?
信息安全
xss
javascript
网络钓鱼
攻击向量
json
2021-08-14 03:16:53
1个回答
UI 元素执行用户提供的 JavaScript 是不正常或不可接受的行为。尽管这些漏洞可能难以利用,但它们需要修补,因为运行恶意 JavaScript 意味着完全接管帐户。
UI Redress(又名点击劫持)可用于填充文本框。这种技术被用来在 google 上利用自己造成的 XSS。标X-Frame-Options头元素可用于减轻这种攻击。
自我感染的 javascript 蠕虫已在 Facebook 上传播。坏人总是试图说服用户做坏事。一些用户非常乐意在自己的脚下开枪,攻击者只需要问一下。Facebook 向我们展示了要求用户复制/粘贴恶意文本足以让蠕虫传播。
tldr; 修复你该死的错误!
其它你可能感兴趣的问题