[SOLUCIONADO] Self-XSS (Duda)

Hola gente de UC!

Tengo una duda con respecto al Self-XSS
Esta vulnerabilidad se da con la consola de los navegadores y tiene algo que ver con el phishing, cierto? Bien.

Ahora, a pesar del CSP (Content Security Privacy) de la página web, en caso de que se logre ejecutar un script de cualquier forma, de la más loca que exista, cualquiera, así sea que yo mismo me inserte un XSS (de ahí viene la palabra Self-XSS) pero con la consola del navegador, es decir, le damos a inspeccionar elementos y abrimos la consola..


Se considera una vulnerabilidad?
Ya que si por ejemplo colocamos <script>alert(1)</script>
al menos a mí, me da un error (Uncaught SyntaxError: Unexpected token <)

A todo esto, se supone que el CSP debe proteger de XSS, al menos, tiene una protección contra scripts. A lo que voy y para terminar me refiero,
la consola de un navegador, puede ser una herramienta de hacking? (al menos en este caso?).

Saludos.

Hola amigo,

Creo yo que el CSP dependerá mucho de la política que le des para "mitigar" los XSS y la versión del navegador (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) , es una capa de seguridad, pero no lo es todo.


Si logras generar un XSS por tu cuenta en tu propio sitio, me parece que va más ligado a una "auditoria interna" o una especie de revisión de tu propio trabajo, que está súper que lo hagas, detectes fallas y las soluciones (hay empresas que dan recompensas por reportar estas y otras vulnerabilidades en sus sitios) .

Hablando del concepto propio de Self-XSS, me parece que estás tomando literalmente la palabra "Self", no se trata de "tu mismo gatillar un XSS" (eso es lo que te comentaba arriba), el self-XSS es cuando tu le dices a un usuario algo como:

"Hey mira, con este código puedes entrar a las cuenta de cualquier usuario del foro, "document.underc0de("pepito)" copia y pega el código en la consola del inspector de elementos con tu cuenta abierta y cambiarás de usuario me cuentas como va"

Al momento que un usuario cae y pega el código, se gatillan otras funciones donde puedes comprometer su información, navegador o lo que sea (revisa este link, esta vulnerabilidad se da mucho en redes sociales donde la propagación puede ser "más sencilla" No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Recuerdo haber visto grupos y paginas que decías cosas como "código para invitar a todos tus amigos a una pagina" y te daban efectivamente un código para pegar en la consola.

Igual podrías revisar la vulnerabilidad/ataque "CSRF" que tiene una metodología muy similar.


Por último, con respecto al inspector de elemento como herramienta de hacking, no quiero decir que no y tampoco quiero decir que si, ya que depende del uso que le des, pero lo que si es claro es que si tu logras modificar el contenido de la pagina (modificando el HTML) o forzar un alert escribiendo el script es/son cambios que realizarás tu para ti (no se si me logro dar a entender), no estás comprometiendo a otro usuario ni al servidor ya que al dar F5 todo volverá a la normalidad (revisa igual Stored XSS).

Espero haber podido ayudar en algo !

Saludos!

Exactamente, creo lo mismo con vos y lo que me dijiste me ayudó a reforzar lo que creía. Es decir que si yo ejecuto un script con no sé... javascript:prompt(alert(1)) en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
no estaría haciendo un XSS a Facebook ni vulnerando nada.

No es lo mismo que por ejemplo ver en los encabezados del CSP un script-src 'unsafe-line' 'unsafe-eval'; ya que eso sí se considera una vulnerabilidad.

Bueno, muchas gracias!!