Javascript vettori di attacco di videoplayer [chiuso]

Naviga le tue risposte
2

Il mio team sta creando un video player basato su Javascript per la nostra piattaforma, invece di fare affidamento su altre opzioni già disponibili come video.js .

Mi sto chiedendo quali vettori di attacco dovrei prendere in considerazione, tenendo presente che non stiamo ospitando alcun sito web, semplicemente distribuiamo il codice Javascript ai nostri clienti e sono loro che ospitano il codice nel loro sito web.

In altre parole, il flusso di lavoro è più o meno simile: un client si connette al sito del cliente per riprodurre un video, i nostri clienti scaricano dal nostro server l'ultima versione del lettore, il nostro cliente visualizza il video nel suo sito.

Quindi non abbiamo alcun input, quindi suppongo che XSS non sarebbe possibile (potrei sbagliarmi). Quali altri attacchi dovrei prendere in considerazione?

    
posta yzT 22.02.2016 - 10:54
fonte

2 risposte

2

L'XSS basato su DOM è qualcosa a cui vuoi prestare attenzione.

Potresti avere del codice nel tuo lettore video che legge parte dell'URL, ad esempio per ottenere l'ID del video attualmente in riproduzione o alcune impostazioni video come la larghezza, e lo inserisce nel DOM, che conduce a XSS.

Oltre a questo, non c'è molto che tu possa fare di sbagliato. Il tuo Video player server serve solo un file statico, quindi se il software del server stesso è aggiornato, non dovrebbe esserci alcun pericolo. Il tuo script non sarà inoltre in grado di fare alcun danno a Website , in quanto quel server dovrebbe ovviamente convalidare qualsiasi input dell'utente che ottiene.

    
risposta data 22.02.2016 - 11:26
fonte
2

Non ho abbastanza reputazione per commentare il post di Tim con cui sono d'accordo, quindi mi limiterò a postare qui ma questa non è una risposta completa.

Oltre a ciò che Tim ha dichiarato, assicurati che il trasferimento di js sia effettuato su https per prevenire attacchi classici di tipo man-in-the-middle. Poiché stai parzialmente giocando il ruolo di CDN , non vuoi che l'integrità del tuo deliverable sia a rischio.

In uno scenario possibilmente improbabile ma realistico, qualcuno potrebbe alterare il tuo javascript in un attacco MITM per includere i vettori di attacco / i payload nel codice.

Spero che questo sia stato pianificato, ma dal momento che non ne hai parlato, è meglio controllare due volte che nessuno:)

    
risposta data 22.02.2016 - 19:24
fonte

Leggi altre domande sui tag

Posso usare un nome di dominio invece di un IP per la persistenza msf? Perché i siti Web utilizzano funzioni hash meno efficaci? [duplicare]