Mi sono imbattuto in link e ho appreso che è popolare tra gli utenti Web installare qualcosa chiamato "Greasemonkey" per consentire l'esecuzione degli script lato client .
Quali sono i vantaggi di Greasemonkey per l'IT Security Professional?
La sicurezza IT dovrebbe essere preoccupata per l'uso crescente di Greasemonkey e dei relativi componenti aggiuntivi del browser? Quali attenuazioni ci sono?
Greasemonkey è uno strumento utile per influenzare il comportamento di una pagina. Da una prospettiva sicura, Greasemonkey non è davvero uno strumento di auditing, è uno strumento per sfruttare i difetti. Può essere utile per sfruttare le vulnerabilità di trust lato client , ma non è l'unico modo. Ad esempio se l'applicazione sta eseguendo la convalida dei dati in JavaScript, un altro addon di Firefox con il nome di Tamperdata può anche essere usato.
L'addon Firebug è probabilmente più utile per la sicurezza IT perché consente all'utente di eseguire il debug di JavaScript che può esporre vulnerabilità.
Greasemonkey ti permette fondamentalmente di avere un'API scriptable nella manipolazione di siti web / dati / visualizzazioni usando JavaScript.
È utile per la sicurezza IT utilizzare per automatizzare alcune cose o anche per darti una vista più utilizzabile per l'output che potresti ricevere
Non puoi veramente mitigare nulla che GreaseMonkey faccia direttamente, ma impedire l'automazione di qualsiasi cosa tu possiedi (possibilmente) fermarla intrinsecamente
Leggi altre domande sui tag plugins web-browser