Seguridad de Javascript de dominio cruzado [duplicado]

Question

Seguridad de Javascript de dominio cruzado [duplicado]

#1 de SilverlightFox (4 votos)

1

Utilicé un escáner de vulnerabilidad web para escanear mi sitio web. Indica varios enlaces con "Inclusión de archivo de origen de secuencia de comandos de Java de dominio cruzado"

¿Puedo saber cómo un atacante explotaría este tipo de vulnerabilidad, exactamente? Por ejemplo, el JS en cuestión proviene de addthis.com (botones de compartir, etc.). Para que este exploit funcione, el atacante tiene que explotar addthis.com, cambiar su addthis.js y, de alguna manera, ¿cuándo mis usuarios navegan por mi sitio web, este addthis.js modificado se ejecutará en mi PC del navegador del cliente? ¿Estoy en el camino correcto?

Si deseo hacer una remediación, ¿cuál es el enfoque correcto? ¿Descargar el dominio externo JS a nuestro lado y ejecutarlo desde nuestro servidor web? ¿Qué otro enfoque mejor y seguro podría haber? gracias

web-browser webserver javascript web-scanners crossdomain

pregunta dorothy 04.03.2015 - 11:48

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser webserver javascript web-scanners crossdomain

¿Qué sucede si un resolutor no es compatible con DNSSEC? Seguridad empresarial: ¿por dónde empezar? [cerrado]

score 4 · Accepted Answer

Sí, todas sus suposiciones son correctas allí.

Al incluir contenido de addthis.com , su Origen del lado del cliente confía plenamente en este dominio. Si hubo algún compromiso con addthis.com , o si addthis.com decidió cambiar el script para hacer algo más invasivo, entonces su sitio sería vulnerable.

Por ejemplo, addthis.com puede decidir repentinamente que desea recopilar datos de los usuarios finales de su script, y estos datos pueden incluir cookies y datos de almacenamiento HTML5. Al incluir el script en su dominio, les está permitiendo realizar estos cambios sin su consentimiento.

Sí, la descarga del archivo y el alojamiento desde su propio dominio es el método seguro. Sin embargo, tenga en cuenta que todavía debe confiar en el código real para hacer lo que espera y solo en lo que espera. Por lo tanto, podría valer la pena realizar una auditoría manual del código y realizar cualquier operación, como la minificación, usted mismo.