Comandi JavaScript selettivi - Evitare lo sfruttamento delle vulnerabilità

Naviga le tue risposte
2

Ricordo le volte in cui l'uso di Javascript era così innocente; un piccolo pop-up qui, un messaggio di dialogo lì.

Oggigiorno Javascript "ruba" i dati sfruttando vulnerabilità su browser "maturi" come Firefox (precedente alla 39.0.3.) e rendendo il mondo sotto allarme.

The vulnerability comes from the interaction of the mechanism that enforces JavaScript context separation (the “same origin policy”) and Firefox’s PDF Viewer. Mozilla products that don’t contain the PDF Viewer, such as Firefox for Android, are not vulnerable. The vulnerability does not enable the execution of arbitrary code but the exploit was able to inject a JavaScript payload into the local file context. This allowed it to search for and upload potentially sensitive local files.

Source

O semplicemente visitando un sito web ricevi un malware come regalo:

You can get a virus just by visiting a site in Chrome or any other browser, with no user-interaction needed. Even with Chrome you are not 100% secure - and you probably never will be with any browser, but Chrome is getting pretty close to it and the security research community seems to agree that at this time, it is the most secure browser you can use.

Source

  • In base a ciò, mi chiedo se JavaScript sia troppo pericoloso per essere utilizzato sui browser o se i browser stessi siano troppo insicuri?
  • Sarebbe possibile limitare ciò che JavaScript può fare da una prospettiva di configurazione del browser (ad es. Avviare automaticamente un download o riferimenti a script su altri domini [High threat])?
posta Community 07.08.2015 - 21:09
fonte

1 risposta

1

Lo stesso JavaScript non è pericoloso, la complessità dei browser moderni e conseguentemente i bug introdotti sono. Ma ovviamente JavaScript è un modo comune per sfruttare questi bug.

Limitare l'uso e / o l'esecuzione di script aumenta la sicurezza, ci sono diversi modi per farlo. La configurazione del browser ti consente di disattivare completamente gli script o solo alcune autorizzazioni (ad esempio, scaricare i font). Questo potrebbe o non potrebbe essere via per aumentare la sicurezza a seconda di come funziona il controllo. Non sarebbe una buona misura se lo script è eseguito e controllato tra loro, dovrebbe essere analizzato prima dell'esecuzione. Questo è il motivo per cui esistono estensioni / plug-in come NoScript che consentono di decidere quali script da quale fonte dovrebbe essere consentito. Questo accade prima di caricare lo script e ha una configurazione molto dettagliata e facile. In generale, tutti i browser cercano di proteggersi da problemi di sicurezza di base come XSS (Cross Site Scripting) o download drive-by. Ma spesso non è sufficiente e sono necessarie ulteriori misurazioni.

NoScript ti consente in particolare di decidere quali tag in html sono consentiti, li filtra. Sei in grado di elencare i siti in bianco e nero, riconoscere XSS, applicare ABE e molte altre cose.

Potrebbero esserci altri modi per minimizzare efficacemente l'esecuzione dello script, ma questo è il modo che ritengo personalmente sia il miglior compromesso tra la disattivazione completa degli script (che potrebbe interrompere quasi tutti i siti Web moderni) o consentire tutto.

Potrebbero esserci altre estensioni oltre a NoScript con funzioni simili, ma non li ho usati e non posso dare altri consigli.

    
risposta data 07.08.2015 - 23:37
fonte

Leggi altre domande sui tag

Prevenire il fingerprinting del SO attivo con iptables Spiegare l'esempio di best practice sulla validazione dei dati OWASP