Javascript-форум (https://javascript.ru/forum/)
-   Общие вопросы Javascript (https://javascript.ru/forum/misc/)
-   -   Безопасность джаваскрипт (https://javascript.ru/forum/misc/30799-bezopasnost-dzhavaskript.html)

PashPP 16.08.2012 13:38
Безопасность джаваскрипт
 
Интересно чисто в целях самообразования, насколько уязвим джаваскрипт?
О том, что клиентский скриптовый язык с ограничениями и тд слышал. Но, мне тут пришла мысль, которая полюбому не рабочая, но я не понимаю еще почему.
Вот у нас в скрипте, допустим, есть переменная, которая передается на сервер и встраивается в общедоступное место. В самом скрипте эта переменная ограниченна лишь полезным кодом, но что нам мешает обойти эти проверки и задать ее хоть функцией хоть еще чем при помощи фаербага или хотя бы артмани?

Да и вообще что-то мало в инете инфы по этому поводу. Гугл родил только две более-менее полезные ссылки, первая из них - адобовская документация с ужасным переводом.

Deff 16.08.2012 13:48
http://qps.ru/7mXtq Ройте в сторону XSS

Полно инфы - если вы на серве проверяете всте тексты на наличие тега script либо исполняемых атрибутов тегов(либо вообще не принимаете HTML текстов от пользователя) и не встраиваете тексты в свои скрипты - что может угрожать ?

kobezzza 16.08.2012 19:35
В реальной жизни данные всегда проверяются на сервере, на клиенте можно нужно делать проверки, но это как "сахар" к интерфейсу.

melky 16.08.2012 19:58
Цитата:
Сообщение от PashPP
Интересно чисто в целях самообразования, насколько уязвим джаваскрипт?
ни на сколько. уязвимы только плохие скрипты, которые на нём написаны ;)

Dim@ 16.08.2012 20:08
melky,
бесконечная рекурсия :dance: :lol:

melky 16.08.2012 20:09
Цитата:
Сообщение от Dim@ (Сообщение 198084)
melky,
бесконечная рекурсия :dance: :lol:
я имел в виду сам JS.

т.е. про то, что нельзя выполнить команду "rm -rf /", вызвав alert(window.SUPER_CONSTANT_REMOVE_ALL);


Часовой пояс GMT +3, время: 22:17.