Что такое хакерство, если сайт не имеет полей ввода?

Недавно я опубликовал вопрос об устранении атак XSS на веб-сайте, Как восстановить сайт после атаки xss?...

Сделав немного больше операций по поиску в Интернете, я обнаружил, что сайт уязвим для XSS, если он позволяет пользователю вводить данные или, другими словами, иметь какой-либо входной блок на сайте (например, поле поиска, связаться с нами, написать отзыв и т.д..)

Теперь я хочу знать, что:

  • предполагая, что на сайте нет полей ввода, все равно уязвим для атаки XSS, если да, то как?
  • кроме XSS, другие хакерские атаки, с которыми может столкнуться сайт, если у него нет ящиков ввода для пользователя

Я знаю, его довольно широкий вопрос, мне просто нужно несколько хедз-ап на тему для google!

2 ответа

Сайт уязвим для XSS, если он получает пользовательский ввод (формы, ссылки, файлы cookie и т.д.) И возвращает содержимое этих данных без какой-либо фильтрации или экранирования.

  • Итак, к вашему первому вопросу, да, он может быть уязвим, поскольку он может получать пользовательский ввод в виде ссылок, например:

    http://sample.com/">

    Что возвращает страницу 404 с этой ссылкой, говорящей, что она не существует

  • Опять же, поля ввода не имеют ничего общего с XSS, это любой предоставленный пользователем вход, который был получен и использован, и, наконец, отображается без фильтрации, поэтому может быть даже обработанный Referer (ошибка правописания в соответствии с RFC) обрабатывается и используется в качестве входа на сайт.


Даже если нет ящиков ввода, вы все равно можете быть уязвимы для Cross-Site-Request-Forgery, если у вас есть кнопки или ссылки, которые приводят к действиям.

licensed under cc by-sa 3.0 with attribution.