如果只有同一用户会看到 XSS 输入，那么它是否会构成威胁？

Question

如果恶意用户输入的 XSS 输入只有他自己能看到，他究竟能获得什么好处？他能有什么收获吗？

我了解当所有站点用户都会查看恶意用户输入时，XSS 会成为一个问题。但如果每个用户只查看自己的输入，那么他的恶意输入将只有他自己看到，所以我的问题是：

• 这会以某种方式间接影响其他用户吗？
• 他能从中得到什么？

Answer 1

攻击者通过查看他发现的 xss 攻击向量可以得到什么，就是这样:-)但是！然后他就可以使用该攻击向量，并且有多种方法可以做到这一点。

如果它是非持久性 XSS 漏洞（也称为反射漏洞），那么可能会通过向潜在受害者发送链接（很可能通过 urlshortener 进行混淆）来实现。
如果这是一个持久的 XSS 漏洞（即像我现在写的那样作为评论存储），那么他只会发表帖子并等待。

现在，他能得到的，就是大话了。试想一下，如果您可以将脚本标记插入网页中，您可以做什么。然后您可以从服务器加载整个 javascript 文件。

然后，恶意代码可能会窃取一些 cookie（如果未设置这些 cookie httponly），并立即通过 ajax 将它们发布到后端应用程序..可能会通知攻击者，谁知道呢..这些cookie可能足以作为受害者登录该网站。

好吧..攻击者可以做很多事情..所以请消除您可能拥有的所有 XSS 漏洞。

XSS漏洞主要利用人们对其他网站的信任。
不要低估 XSRF 漏洞，这些漏洞取决于网站对您的浏览器的信任度（另一个大话题）和 Sql注入攻击。

一些提示（我相信您知道所有这些，但为了完整起见：

• 在用于验证用户身份的 cookie 中设置 httponly
• 在将用户输入打印回输出时使用 htmlentities
• 在将用户输入存储到数据库之前使用 mysql_real_escape_string
• 不要使用 GET 请求执行关键操作（即保存/删除/修改文章）。使用 POST（xsrf）

一些

更新：

可以提供帮助的工具：

• Chrome 插件：Websecurify
• Firefox 插件：xss-me
• Windows 应用程序： NetSparker Community Edition（免费）
• X-platrofm：SkipFish 、wapiti
• Nessus

（我推荐 SkipFish）

Answer 2

我想不是，但这不是 A/B 的事情。谁知道“XSS”的“脚本”部分是做什么的。也许攻击者在您的 AJAX/javascript 中发现了漏洞，并且他正在使用 XSS 类型的攻击来获取您主机上的工具包。同样，我们可以整天推测注入型攻击会造成什么危害，最重要的是，如果您可以防范它，那就这样做。我们在这里能想到的每一个技巧都将是攻击者使用的技巧列表中的一个。

为你可以预测的事情做好准备，防御已知的事情。

Answer 3

是的，绝对是。注入可能由第三方发起，就像 反射型 XSS 的情况一样。

Answer 4

+1 @Gumbo 指出的内容 - 反映了 XSS，但也要考虑用户帐户被盗的情况，攻击者提供恶意输入，当他或她返回站点时，这些输入将返回给（合法）用户。

这只是另一个潜在的攻击媒介......

Answer 5

作为直接威胁……可能没什么，因为他们无法以直接方式更轻松地完成任何事情。

但无论如何它都应该被修复，因为几个月后需求可能会发生变化，或者新的开发人员重新使用相同的代码，然后你就会遇到真正的问题。

Answer 6

我想你在问：

1. 反射（XSS）代码可以有
   之前对其他访客的影响
   分发链接 - 即在测试期间

   和

2. 这样的测试可能有什么好处
   为恶意用户实现

如果我没理解错的话，我的回答如下：

1. XSS 是关于运行客户端的
   代码 - 通常是 JavaScript - 在
   毫无戒心的用户浏览器和
   对其他用户没有影响
   超出了所实现的目标
   通过链接分发它，
   说服用户输入
   直接或找到一种方法
   保留在给定页面上。

   如果你问是否可以
   导致某种形式的命令执行
   在服务器上，这将是 代码
   注入 或者命令注入
   比XSS；恶意用户会
   要么需要足够幸运
   发现网站的用途
   服务器端 JavaScript 或者会很糟糕
   足够擅长编码
   实际上完全在做某事
   和他们想的不一样！

   无论哪种方式，这都需要
   网站容易受到这种形式的攻击
   注射并且超出范围
   XSS 是什么。

2. 如果我们谈论 XSS，测试允许
   恶意用户正确制作
   他们的最终代码/链接就是这样
   尽可能隐蔽并且确实
   无论他们意图做什么恶行
   至。

   除非某人或某个系统
   密切关注日志
   例如多个奇怪的 HTTP 请求，
   恶意用户将能够
   完善他们的利用，以便当
   他们的推文/电子邮件/无论发生什么
   病毒式传播，它具有预期的效果。

华泰