¿Qué tipo de daño puede causar un sitio web con javascript malicioso?

4

Imaginando que quiero desarrollar un sitio web para dañar intencionalmente a sus visitantes, ¿qué tipo de ataques puedo hacer? Me imagino que un ataque CSRF típico funcionaría, pero ¿podría robar cookies de otro sitio web que no sea el mío? ¿Qué más podría hacer?

Estoy desarrollando un sistema que permite el código html / javascript de terceros y necesito evitar cualquier vulnerabilidad que pueda. Creo que la caja de Google y los sistemas similares no son realmente relevantes en mi caso, ya que no hay un código de anfitrión y de invitado en la misma página, solo un código de invitado.

    
pregunta André Lopes 26.01.2017 - 15:59
fuente

2 respuestas

1

Javascript es un motor que ejecuta el código del lado del cliente. Si permite que Jemascript no controlado de terceros en su sitio, eso significa que los visitantes potenciales de su sitio pueden ejecutar código arbitrario en su navegador.

Los daños pueden venir en varios niveles:

  • más sencillo y ligero: simplemente juega con el navegador. Como ejemplo, inicie un bucle de fondo que muestre elementos emergentes
  • un poco más avanzado: elimine el menú del navegador e intercepte el evento de cierre para evitar que el usuario simplemente cierre la aplicación para deshacerse de las ventanas emergentes
  • aún un paso más allá, juegue con la configuración del navegador almacenada cambiando los accesos directos o favoritos para llamar a una página infectada
  • más difícil pero más dañino: use las fallas de los navegadores para escapar del navegador sandbox y acceda directamente al sistema subyacente

Según el sistema, el navegador y sus configuraciones, algunos de esos ataques no serán posibles. Pero incluso el más ligero, el bucle de fondo que abre continuamente las ventanas emergentes es extremadamente molesto para un usuario, y puede estar seguro de que nunca más volverá a su sitio.

    
respondido por el Serge Ballesta 27.01.2017 - 09:48
fuente
0

En términos generales, creo que lo mejor es instalar Kali linux en la máquina virtual y probar su sitio web y el servidor web para detectar vulnerabilidades. Si lo arreglas lo suficiente como para que Kali tenga un resultado negativo, estarás a salvo de la mayoría de los posibles ataques.

Examinar más detenidamente el escáner web Nikto y luego utilizar el arsenal de Kali para asegurarse de que no haya agujeros, esto debería ser suficiente. Sin embargo, sepa que siempre habrá un agujero en algún lugar, tal vez inadvertido para la mayoría, que el Sr. Robot podría explotar en algún momento. :-)

    
respondido por el user633551 27.01.2017 - 06:33
fuente

Lea otras preguntas en las etiquetas