Che tipo di danno può fare un sito Web con javascript dannoso?

Naviga le tue risposte
4

Immagino che voglio sviluppare un sito Web per danneggiare intenzionalmente i suoi visitatori, che tipo di attacchi posso fare? Immagino che un tipico attacco CSRF funzionerebbe, ma potrei rubare i cookies da un altro sito che non è mio? Cos'altro potrei fare?

Sto sviluppando un sistema che consente il codice html / javascript di terze parti e ho bisogno di impedire qualsiasi exploit che posso. Google Caja e sistemi simili non sono davvero rilevanti nel mio caso, penso, dal momento che non c'è nessun codice host e guest sulla stessa pagina, solo il codice ospite.

    
posta André Lopes 26.01.2017 - 15:59
fonte

2 risposte

1

Javascript è un motore che esegue il codice lato client. Se permetti il javascript di incontrollato di terze parti nel tuo sito, ciò significa che potenzialmente i visitatori del tuo sito potrebbero eseguire codice arbitrario nel tuo browser.

I danni possono arrivare a vari livelli:

  • il più semplice e leggero: semplicemente gioca con il browser. Ad esempio, avvia un ciclo in background che mostra ripetutamente i popup
  • leggermente più avanzato: rimuovi il menu del browser e intercetta l'evento close per impedire all'utente di chiudere semplicemente l'applicazione per sbarazzarsi dei popup
  • ancora un passo avanti, gioca con la configurazione del browser memorizzata modificando le scorciatoie oi preferiti per chiamare una pagina infetta
  • più difficile ma più dannoso: usa i difetti dei browser per uscire dal browser sandbox e accedere direttamente al sistema sottostante

A seconda del sistema, del browser e delle loro configurazioni, alcuni di questi attacchi non saranno possibili. Ma anche il più leggero, il ciclo di background che apre continuamente i popup è estremamente fastidioso per un utente e puoi essere sicuro che non tornerà mai più sul tuo sito.

    
risposta data 27.01.2017 - 09:48
fonte
0

In generale, penso che la cosa migliore da fare sia installare Kali linux su VM e testare il tuo sito web e il server web per le vulnerabilità. Se lo rattoppi abbastanza da rendere negativo il test di Kali, sarai al sicuro contro la maggior parte del potenziale hacking.

Dare un'occhiata più da vicino a Nikto web scanner e poi magari usare l'arsenale di Kali per assicurarti che non ci siano più buchi, dovrebbe essere sufficiente per i bisogni di base. Tuttavia, sappi che ci sarà sempre un buco da qualche parte, forse inosservato dalla maggior parte, che Mr. Robot potrebbe sfruttare a un certo punto. : -)

    
risposta data 27.01.2017 - 06:33
fonte

Leggi altre domande sui tag

Il "telefono di ripristino" dell'account Google ha qualche vantaggio se non dimentico la mia password? Quanto posso fidarmi dei registrar di domini per onorare i servizi di protezione dell'identità Whois?