XSS по-прежнему рискует, если ваш сайт не позволяет пользователям войти в систему?

Question

Мы собираемся запустить публичный сайт, и команда проверки безопасности вернулась с уязвимостью XSS.По сути, это сайт для брошюр - здесь нет логинов, и информация, отправленная пользователем, публично не отображается.

Является ли XSS тем, чем мы должны быть обеспокоены?

Answer 1

Да , XSS позволяет хакерам управлять контентом на вашем сайте и обычно принимает один вызов функции для исправления. Чтобы решить эту проблему, требуется меньше усилий, чем для того, чтобы опубликовать этот вопрос в SO.

Допустим, вы - Fox News, кто-то может использовать XSS для фальсификации новостей. Более того, он может быть использован для доставки диска с помощью атаки на скачивание для ваших пользователей. В вашем случае кто-то может создать поддельную брошюру с возмутительными заявлениями.

Answer 2

Да, уязвимости XSS не должны быть направлены на пользовательские данные.Они могут быть использованы для превращения вашего сайта в сайт распространения вредоносных программ.Представьте себе, злоумышленник вставляет XSS, который выдает предупреждение «В вашем компьютере может быть вирус», и начинает загрузку поддельного сканера вирусов мошенника.Вы будете обвинены любыми пользователями, которые влюбляются в мошенничество.