检测

跨站脚本包含 (XSSI)

medium Web App Scanning 插件 ID 113016

语言:

简介

跨站脚本包含 (XSSI)

描述

跨站脚本包含 (XSSI) 是指远程页面中包含的内容。此外,此漏洞还允许绕过浏览器的同源策略机制。通过强制受害者导航至恶意站点,而不是使用 JavaScript 向所需站点发出直接请求(SoP 随后会阻止该请求),这样就可以在页面中包含远程脚本。如果 Cookie 配置过于宽松,则 Cookie 将在调用期间发生集成,而如果调用的是包含敏感信息且经身份验证的脚本,则攻击者将可访问该脚本。

解决方案

一般来说,明智的做法是不要在可通过 Javascript 调用的文件中包含敏感数据。通过 SameSite 标记强制执行 Cookie。仅允许使用反 CSRF 标记,通过 POST 请求请求页面。

另见

https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Application_Security_Testing/11-Client_Side_Testing/13-Testing_for_Cross_Site_Script_Inclusion

https://www.mbsd.jp/Whitepaper/xssi.pdf

https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-lekies.pdf

插件详情

严重性: Medium

ID: 113016

类型: remote

发布时间: 2021/10/21

最近更新时间: 2021/11/26

扫描模板: api, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 5.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: Medium

基本分数: 6.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 分数来源: Tenable

CVSS v4

风险因素: Medium

Base Score: 5.1

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

CVSS 分数来源: Tenable

参考资料信息