È pericoloso consentire ai client di eseguire JavaScript su un server

Naviga le tue risposte
1

In una pagina web su cui ho lavorato, possiamo archiviare determinate pagine Web per un utente. L'utente può fornire un indirizzo e questa pagina web è visitata sul server e archiviata. Ultimamente, ho notato che JavaScript è attivo.

Ovviamente, il client può eseguire qualsiasi JavaScript sul server. Ora la mia domanda è: quali vulnerabilità vengono esposte consentendo al client di eseguire JavaScript arbitrario sul server.

La pagina web non è solo archiviata, ma anche tutti gli script vengono eseguiti per un massimo di 200 millisecondi, dopodiché viene acquisito uno screenshot.

    
posta user23127 27.10.2014 - 15:03
fonte

1 risposta

3

Se una delle pagine che hai archiviato sul tuo server contiene vulnerabilità del codice di targeting per codice dannoso (ricorda che wkhtmltopdf gira su webkit), è teoricamente possibile che ciò comporterà una violazione della sicurezza sul tuo server durante l'esecuzione della pagina attraverso wkhtmltopdf.

L'implicazione consiste nel fatto che il codice dannoso che normalmente si rivolge alle macchine client dei tuoi utenti è di fatto un attacco al tuo server, dovrai decidere da solo come valuta questo rischio.

    
risposta data 27.10.2014 - 16:20
fonte

Leggi altre domande sui tag

Hai bisogno di aiuto per decodificare lo "scambio di chiavi del client" catturato in Wireshark Come posso verificare che la mia macchina non sia vulnerabile da uno specifico exploit?