Sicurezza Javascript di dominio incrociato [duplicato]

1

Ho usato uno scanner di vulnerabilità web per analizzare il mio sito web. Indica diversi collegamenti con "Inclusione di file di origine script Java di dominio incrociato".

Posso sapere come potrebbe un aggressore sfruttare questo tipo di vulnerabilità, esattamente? Ad esempio, il JS in questione proviene da addthis.com (pulsanti di condivisione, ecc.). Affinché questo exploit funzioni, l'utente malintenzionato deve sfruttare addthis.com, modificare i propri addthis.js e poi in che modo quando i miei utenti navigano nel mio sito Web, questo addthis.js modificato verrà eseguito sul mio PC client del browser? Sono anche sulla strada giusta?

Se desidero eseguire una riparazione, qual è l'approccio corretto? Scarica il dominio esterno JS dalla nostra parte ed esegui dal nostro server web? Quale altro approccio migliore e sicuro potrebbe esserci? grazie

    
posta dorothy 04.03.2015 - 11:48
fonte

1 risposta

4

Sì, tutte le ipotesi sono corrette lì.

Dato che stai includendo il contenuto di addthis.com , la tua origine lato client ha completamente fiducia in questo dominio. Se c'è stato un compromesso a addthis.com , o se addthis.com ha deciso di cambiare lo script per fare qualcosa di più invasivo, il tuo sito sarebbe vulnerabile.

Ad esempio, addthis.com potrebbe improvvisamente decidere di voler raccogliere dati dagli utenti finali del loro script e questi dati potrebbero includere cookie e dati di archiviazione HTML5. Includendo lo script nel loro dominio, puoi consentire loro di apportare queste modifiche senza il tuo consenso.

Sì, il download del file e l'hosting dal tuo dominio sono l'approccio sicuro. Tieni presente, tuttavia, che devi ancora fidarti del codice effettivo per fare ciò che ti aspetti e solo ciò che ti aspetti. Quindi potrebbe valere la pena controllare manualmente il codice e fare qualsiasi operazione, come ad esempio la minificazione.

    
risposta data 04.03.2015 - 12:09
fonte