Question

Если вы говорите, например, аркаду игр HTML5, которая позволяет пользователям загружать сценарий, который запускает игру с HTML5 и Javascript, при условии, что у вас нет фильтров на входе (кроме разрешения только JS и HTML), каковы потенциальные возможности угрозы безопасности и подводные камни?

Одна маловероятная возможность состоит в том, что, если игры популярны, у них может быть скрытый скрипт ddos, который может запустить атаку ddos, если игры достаточно популярны.

Кража файлов cookie - это еще одно, но если у кого-то есть исчерпывающий список или какие-либо другие идеи, было бы интересно их услышать.

Oded · Answer 1 · 08 февраля 2011

Разрешение загрузки javascript запускает довольно много возможностей для атакующего.

См. Межсайтовый скриптинг (википедия) и OWASP .

В общем случае - если вы разрешите это, злоумышленник может опубликовать любой код, перенаправить пользователей, использовать их браузеры, установить вирусы и т. Д.

Mic · Answer 2 · 08 февраля 2011

Написание бота, который выигрывает.Тогда игра быстро перейдет к написанию лучшего бота, чтобы побить других ботов;)

Если вы загрузите эти сценарии в iframe с другим доменом, поддоменом, портом или протоколом, та же политика происхождения предотвратитэти сценарии для чтения содержимого главной страницы.

И вы можете установить строковую связь между этими iframe и вашей главной страницей через window.postMessage для современного браузера или использовать хак window.name для старых браузеров..

И для предотвращения кражи файлов cookie у вас может быть секретный ключ на главной странице, который вы отправляете обратно на сервер для каждого запроса.

Shadow Wizard · Answer 3 · 08 февраля 2011

Только мои два цента.

Один риск - когда кто-то загружает скрипт, который перенаправляет пользователя на вредоносный сайт, и этот сайт делает неприятные вещи - пользователь никогда не намеревался попасть на этот сайт, конечно же, не через аркадную игру..

Anil Namde · Answer 4 · 08 февраля 2011

Проверьте ссылки ниже, которые я нашел полезным для понимания возможностей.

http://ejohn.org/blog/javascript-based-injection-attacks/

http://google -caja.googlecode.com / SVN / изменения / mikesamuel / строка интерполяции-29-Jan-2008 / багажник / SRC / JS / COM / Google / Каха / интерполяцией / index.html

Каковы риски, позволяющие пользователям загружать и запускать Javascript?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Каковы риски, позволяющие пользователям загружать и запускать Javascript?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов