WWW-Autenticate Injection

Název: WWW-Autenticate Injection
Zařazení: Injection, Útoky proti uživatelům
Závažnost: Nízká - Střední

Popis:
 

Pokud aplikace svým uživatelům umožňuje vkládat do obsahu webových stránek externí obsah (například obrázky), hrozí, že útočník injektuje do této aplikace externí obsah chráněný HTTP auntentizací. To bude mít za následek, že každému, kdo načte webovou stránku s tímto externím obsahem, bude zobrazen formulář pro zadání autentizačních údajů. Ty se po vložení odešlou na server útočníka.

Řešením je bezpečnostní politika Content Security Policy, vytvoření lokální kopie externího obsahu, nebo úplné zakázání vkládání externího obsahu.