¿Cómo detectar si un sitio está utilizando una vulnerabilidad de JavaScript?

Navega tus respuestas
1

¿Hay alguna manera para que yo (no experto en JavaScript) detecte ataques de JavaScript desde un sitio web? He hecho muchas búsquedas y no he encontrado una respuesta definitiva. NoScript es una molestia en el uso, ya que cada vez más sitios REQUIEREN Java y los scripts para habilitarse (por ejemplo, iniciar sesión en este sitio) Cada vez que hago clic en "Permitir sitio", me pregunto qué estoy "permitiendo". Además, el consejo, "Permitir solo sitios en los que confíe" no es realmente útil, ya que muchos sitios han sido pirateados y ni siquiera lo saben.

También sospecho que hay un sitio que ejecuta algo para recuperar la IP de mi enrutador, ya que parece que pueden identificarme aunque estoy en TOR. No me refiero a un sitio oculto ni a uno que se ocupe de contenido ilegal. Estoy hablando de sitios normales, conocidos.

    
pregunta bib bob 22.08.2013 - 14:00
fuente

1 respuesta

1

El código es neutral. No existe una diferencia intrínseca entre el código que cumple con alguna funcionalidad y un exploit activo, excepto que en este último caso preferiría que no ocurriera . La diferencia está en tu cabeza, no en el código; las computadoras no pueden detectarlo automáticamente.

Esta es una propiedad fundamental de la seguridad de TI: no existe una prueba confiable para saber si un código dado es benigno o malicioso. En el mejor de los casos, podemos:

  • Haga cumplir la benignidad con restricciones pesadas, por ejemplo, con NoScript: si el código no puede ejecutarse, no puede dañar.
  • Intente eliminar el código malicioso inspeccionando su fuente : permitiendo que el código se ejecute solo si proviene de una fuente confiable, y tenemos cierta seguridad de que lo que obtuvimos es realmente lo que la fuente envió. (es decir, en un contexto web: Javascript de un sitio web HTTPS específico en el que decidimos confiar).

Estoy de acuerdo en que esto es insatisfactorio. Desafortunadamente, el mundo tiene una tendencia a serlo.

    
respondido por el Tom Leek 22.08.2013 - 15:31
fuente

Lea otras preguntas en las etiquetas

Manera segura de almacenar datos de usuario sin encriptar la base de datos URL firmadas como medida de seguridad