¿Qué tipo de daño puede causar un sitio web con javascript malicioso?

Javascript es un motor que ejecuta el código del lado del cliente. Si permite que Jemascript no controlado de terceros en su sitio, eso significa que los visitantes potenciales de su sitio pueden ejecutar código arbitrario en su navegador.

Los daños pueden venir en varios niveles:

• más sencillo y ligero: simplemente juega con el navegador. Como ejemplo, inicie un bucle de fondo que muestre elementos emergentes
• un poco más avanzado: elimine el menú del navegador e intercepte el evento de cierre para evitar que el usuario simplemente cierre la aplicación para deshacerse de las ventanas emergentes
• aún un paso más allá, juegue con la configuración del navegador almacenada cambiando los accesos directos o favoritos para llamar a una página infectada
• más difícil pero más dañino: use las fallas de los navegadores para escapar del navegador sandbox y acceda directamente al sistema subyacente

Según el sistema, el navegador y sus configuraciones, algunos de esos ataques no serán posibles. Pero incluso el más ligero, el bucle de fondo que abre continuamente las ventanas emergentes es extremadamente molesto para un usuario, y puede estar seguro de que nunca más volverá a su sitio.

En términos generales, creo que lo mejor es instalar Kali linux en la máquina virtual y probar su sitio web y el servidor web para detectar vulnerabilidades. Si lo arreglas lo suficiente como para que Kali tenga un resultado negativo, estarás a salvo de la mayoría de los posibles ataques.

Examinar más detenidamente el escáner web Nikto y luego utilizar el arsenal de Kali para asegurarse de que no haya agujeros, esto debería ser suficiente. Sin embargo, sepa que siempre habrá un agujero en algún lugar, tal vez inadvertido para la mayoría, que el Sr. Robot podría explotar en algún momento. :-)