Я немного знаю о рисках безопасности и знаю, что Javascript может быть опасным и поставить под угрозу мой компьютер, все было хорошо, но вдруг прочитал одну статью OWASP, в которой говорится, что XSS (межсайтовый скриптинг) является наиболее частым типом атаки, которую я пытаюсь найти в интернете, как я могу узнать, что именно делает javascript, на самом деле я запускаю firefox с отключенным по умолчанию javascript и просто разрешаю страницы, которым доверяю, это по умолчанию на BackTrack5 R2, но я хотел бы знать, возможно ли узнать или посмотреть, что происходит
2 ответа
Стоит отметить, что Javascript работает в изолированной среде. Это означает, что XSS может позволить в худшем случае вредоносному сайту выполнить Javascript в контексте другого (уязвимого) сайта и выполнить действия, как если бы это был уязвимый сайт.
Так, например, если вы посещаете www.youtube.com, на котором есть реклама от www.evil_side_adverts.com и отправляет вас на XSS на www.google.com, то www.evil_side_adverts.com может выполнить javascript на сайте www.google.com. страницу на вашем компьютере и может взаимодействовать с www.google.com, как если бы вы были.
Это означает, что он может украсть ваши куки, делать запросы от вашего имени (но не входить в систему) и вообще плохо себя вести. Когда браузер или веб-страница закрываются, XSS заканчивается, и на вашем компьютере больше не происходит никаких проблем.
Ключевой особенностью здесь является то, что даже если вы атакованы через XSS на сайте, который вы используете, злоумышленник не может запустить вредоносное ПО в вашей системе и не может просмотреть документы на вашем компьютере или установить вредоносное ПО. программы на вашем рабочем столе.
Стоит также отметить, что ряд более современных браузеров имеют меры по снижению риска некоторых типов уязвимости XSS. Убедитесь, что вы используете по крайней мере IE9 или последнюю версию Firefox, Chrome или Opera, чтобы убедиться, что вы полностью защищены.
Firebug твой друг. Он позволяет вам видеть все звонки, которые они делают, сколько времени они занимают, и другую полезную информацию.