Информационная безопасность.
Есть два очень популярных способа взломать страницу, использующую Java Script. Мы делаем это, вставляя наш собственный код Java Script на страницу, которую мы пытаемся взломать. Первый способ — ввести код JavaScript в адресную строку. Второй — найти уязвимости XSS (Cross Site Scripting) на веб-сайте. Таким образом, JavaScript можно использовать как в полезных, так и во вредоносных целях.
JavaScript может изменять информацию в форме. Мы можем изменить входные теги в форме. Мы можем изменить файлы cookie, которые в данный момент находятся в браузере. Мы можем изменить любое значение, которое есть в приложении или на сайте.
Если вы хотите изменить значения в файлах cookie, вы можете сначала ввести команду JavaScript в URL-адрес. Эта команда делает то, что дает вам всплывающее окно и список файлов cookie. Вот пример того, что вам нужно ввести в URL:
javascript:alert(document.cookie);
Допустим, мы пытаемся войти на сайт. Параметр файла cookie авторизации имеет значение false. Это должно быть верно, чтобы мы могли войти в систему. Поэтому мы выполняем команду javascript:alert(document.cookie);, чтобы просмотреть информацию о файлах cookie. После этого выполняем еще одну команду, которая изменит параметр авторизации на true. Сделав это, мы только что прошли проверку авторизации и получили доступ к данным. Команда, которую можно использовать для установки значения true для параметра авторизации, выглядит следующим образом:
javascript:void(document.cookie="authorization=true");
Если вы хотите узнать, изменил ли кто-нибудь файлы cookie вашей веб-страницы, вы можете использовать следующую команду:
javascript:void(document.cookie="authorization=true");javascript:alert(document.cookie);
Вы заменяете имя и значение файла cookie на тот, который хотите протестировать. Информация будет отображаться во всплывающем окне.
Есть много способов защитить себя от вредоносных инъекций JavaScript. Мы можем начать, всегда проверяя входные данные, которые мы получаем, по белому списку. Белый список всегда лучше, чем проверка ввода по черному списку. Могут возникнуть проблемы с кодировкой черного списка.
С моей личной точки зрения… никогда, но НИКОГДА!!! полагаться только на проверку на стороне клиента. Хакер с хорошими навыками (черная или белая шляпа) всегда может обойти проверку на стороне клиента. Проверка на стороне клиента никогда не должна использоваться в качестве исправления безопасности, существует гораздо больше других более надежных способов.
JavaScript также можно внедрить в динамические страницы. Таким образом, страница отображается не так, как ожидалось. Присоединение XSS может делать с веб-сайтом множество различных вредоносных действий.
Главное, что нужно сделать, чтобы защитить себя от инъекций JavaScript, — это провести все проверки безопасности и валидности на сервере. Экранирование динамических значений JavaScript — это то, что мы также должны учитывать для обеспечения хорошей безопасности. функция
Основная функция esc_js() помогает избежать использования JavaScript в атрибутах DOM, в то время как все остальные значения должны быть закодированы с помощью json_encode(). Из WP Codex on esc_js():
Таким образом, есть много способов защитить наши веб-сайты, нам просто нужно быть в курсе последних новостей и программного обеспечения в области кибербезопасности.
Источник: http://www.testingsecurity.com/
