我问了这个问题: What's with those Do-Not-Use Javascript People许多人说Javascript允许通过客户端攻击进行安全攻击。
所以我需要跟进并了解这些攻击的性质有多糟糕:
我想听一些关于通过Javascript直接或间接导致或允许的对您的计算机或网络造成的实际攻击或损坏的详细说明。
具体而言,您的计算机或网络是否有任何物理损坏?你丢失了什么数据吗?您的任何软件是否已损坏?如果发生任何损坏,修复需要多长时间,以及损失多少?
或者攻击是否在它造成任何伤害之前停止了,它是如何停止的?这需要多长时间,费用是多少?
我不认为弹出窗口是攻击。它们只是一种烦恼,可以在不禁用Javascript的情况下轻松阻止。
请仅详细说明您个人所接受的攻击。我相信你作为程序员的智慧,但我不相信第三方的故事,原因可能是其他原因。
答案 0 :(得分:3)
我已经看到并完成了如此多的XSS攻击成功,这导致窃取管理会话并控制整个应用程序。我已经看到并完成了客户端攻击,例如上面的链接,这导致安装另一个应用程序(一个RAT)并控制整个盒子。
此后作为攻击者你可以开始攻击内部网络,比如你可以拥有路由器然后控制整个公司的流量,你可以攻击域控制器,或者你可以使用传递哈希工具或类似工具,用于窃取本地凭据并使用这些凭据攻击其他系统。在此之后,所有关于其他计算机(以及本地计算机,如果浏览器作为最低权限运行而不是管理员帐户运行)的安全性
答案 1 :(得分:1)
嗯,任何恶意JavaScript最终都会通过浏览器功能发挥作用,因此this proof-of-concept demo可能适合您的需求。它利用了这样一个事实:页面可以动态创建指向给定URL的链接,然后检查它是什么颜色,以确定您的浏览器是否认为该网站是您浏览历史记录的一部分。所有这些链接都是尝试猜测你的性别,但同样的想法可以用于攻击 - 比如,它可以测试主要银行的URL,并向你展示针对你使用的任何银行定制的网络钓鱼攻击。
当然,这可能(应该)在未来的浏览器版本中修复,但对大多数漏洞利用都是如此。
答案 2 :(得分:1)
不要让最终用户插入允许<脚本>标签,<风格>标签,样式属性或任何on_? event属性...并观察href和src属性的内容
E.g。如果您有博客,请不要让他们对任何HTML发表评论。
为什么?
1。)脚本标签很明显,他们可以做任何他们想做的事情
2。)样式标签和样式属性不是那么明显,但在IE中,他们可以使用行为或表达式属性来调用脚本内容
3.)任何onclick,onmouseover等属性显然都可以包含脚本内容,所以也要避免使用。
4。)观察href和src属性,如果它们包含“javascript:”协议,那么你也会暴露脚本。
更新:扔进< iframe>,<对象>和<嵌入>作为危险的标签......
答案 3 :(得分:1)
我使用< textarea>收集我清理但有人保存的文字< / texarea>< script> for(var i = 1; i> 0; i ++) {alert(“再按一下”);}
当页面再次加载时,它会让你卡在一个警告框中,你必须关闭浏览器才能离开。
我很快就看到了它,然后用所有输入来解决问题。 (c#httputility.htmlencode(string))没有真正的损坏或成本,修复很快。
答案 4 :(得分:0)
对客户端站点上易受攻击的输入脚本的注入攻击导致通过自动MS SQL脚本将特洛伊木马加载脚本主体附加到其数据库中的每个文本字段。我们最终使用该脚本来否定自己进行清理,但是在插入漏洞之前,很多人通过中国的服务器得到了某种感染。
这适用于此,因为注入孔是通过javascript引用(AJAX调用)创建的,并且可交付也是通过随后注入的javascript引起的。
答案 5 :(得分:0)
我个人没有任何问题,除了这里和那里的一些浏览器崩溃(这主要来自编写得不好的代码)。不要读太多,我明白javascript是一个相当广泛的攻击向量;我只是说大概80-90%的互联网用户而不是网络应用程序开发者都是如此。
答案 6 :(得分:0)
让我免于享受静态链接的强类型语言。并且对一些名叫克罗克福德的人形成了一种非自愿的依赖关系。