javascript - 如果应用程序容易受到存储的 XSS 漏洞的攻击,但只有管理员可以将 XSS 有效负载放入应用程序中。这是一个有效的安全漏洞吗?
问题描述
Web 应用程序容易受到存储的 XSS 漏洞的影响,但只有管理员用户可以访问控制台并可以插入数据或 XSS 有效负载。除此之外,该应用程序不易受到 CSRF 和访问控制攻击。
那么它是一个有效的安全漏洞吗?我应该修复这个吗?
提前致谢!
解决方案
我认为这是一个有效的安全漏洞,尽管它降低了风险因素,因为只有授权用户才能放置 xss 有效负载。许多网络应用程序(如 wp 等)允许特权帐户放置未经过滤的 html 内容,但如果有多个管理员,那么如果 xss 可能被一个管理员利用来接管其他管理员,这可能会导致水平特权升级或接管。
推荐阅读
- c# - Abstract Generic Mocking - 不能实例化属性的代理类?
- docker - 使用 GitHub Actions 构建 Docker 映像的问题
- junit - Robolectric 4.4 单元测试错误 - 主循环器已将未执行的可运行文件排队
- javascript - 如何使用节点 sdk 检查容器是否存在于 cosmos DB 中?
- wso2 - WSO2 - 3.2.0 - Docker - 创建 API - 连接错误
- kubernetes - 当 Pod 通常需要低 CPU 但会定期扩展时,如何使用 K8S HPA 和 autoscaler
- angular - 在我的角度项目中设置规则'max-classes-per-file'。ESLint 触发的错误是“文件有太多类”
- c++11 - 使用类型推导向下转换为子类的方法
- java - 如何确保随机产生的值在 Java 中是唯一的
- react-native - 如何使用 reanimated v2 更改背景颜色与过渡