Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Javascript bezbednosni rizici za sajt, odnosno njegove fajlove

[es] :: Javascript i AJAX :: Javascript bezbednosni rizici za sajt, odnosno njegove fajlove

[ Pregleda: 825 | Odgovora: 1 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

deZio
Inđija

Član broj: 150608
Poruke: 345
*.dynamic.isp.telekom.rs.



+38 Profil

icon Javascript bezbednosni rizici za sajt, odnosno njegove fajlove26.01.2012. u 00:54 - pre 148 meseci
Hteo bih da pokrenem ovu temu, pa se nadam da će neko iskusniji moći da mi reše neke dileme. Interesuje me sigurnost javascripta kada je u pitanju bezbednost sajta.

Eto na primer, redovno posećuje w3schools, oni imaju tryit mini aplikaciju koja pokreće unešeni javascript kod radi testiranja. Da li mislite da su oni tu morali da misle o nekoj bezbednosti pošto bilo ko može uneti bilo koji js kod radi testiranja? Ovo naravno nema veze sa korisnicima, odnosno cookie injection, jer se sa njim u ovoj situaciji ništa zanimljivo ne može postići.

E sad pošto je javascript client-side, on jedino preko ajaxa može pozvati neki npr. php fajl, ali to opet nije propust js, jer bi se to onda moglo i kroz browser ako se zna putanja do php fajla. Isto tako da zanemarimo forme, jer je to praktično prvi korak zaštite, i njega većina zna.

Što se tiče direktnog pozivanja nekog serverskog fajla, kada je u pitanju php ako imam jedinstveni index, onda rešavam tako što u tom indexu definišem php konstantu a u svim ostalim php fajlovima obavezno u prvoj liniji proveravam da li je ta konstanta definisana. Sad sam malo skrenuo s teme pošto me za sada brine da li postoji js mogućnost nekog propusta.

Evo na ovom linku sam našao na šta sve treba obratiti pažnju: Cross-site scripting; Cross-site Request Forgery; JSON Hijacking; JavaScript + CSS; Sandbox Holes; DNS Attacks

Ja sam do sada bio upoznat samo sa XSS i XSRF
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2242
*.dynamic.isp.telekom.rs.

Sajt: https://hardcoder.xyz


+2247 Profil

icon Re: Javascript bezbednosni rizici za sajt, odnosno njegove fajlove26.01.2012. u 01:25 - pre 148 meseci
Samo ovaj deo..

Citat:
Da li mislite da su oni tu morali da misle o nekoj bezbednosti pošto bilo ko može uneti bilo koji js kod radi testiranja?


Danas.. koliko sam ja upućen.. svaki sistem.. koji ima TONU koda.. a dobar je.. i radi...
Otrpilike 70% tog koda je vezano za - security. Onih 30% je ustvari to što korisniku treba, to što se vidi i odigrava na ekranu.

Koji god jezik da je u pitanju, koji god pristup da se koristi.

Ispravite me ako grešim.
about:networking
 
Odgovor na temu

[es] :: Javascript i AJAX :: Javascript bezbednosni rizici za sajt, odnosno njegove fajlove

[ Pregleda: 825 | Odgovora: 1 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.