Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Помогите с JavaScript пожалуйста 18.09.02 23:07 Штраф: 40 [hex.sex, !mm, paganoid, Wud]
Автор: Plintus Статус: Незарегистрированный пользователь
|
Приветствую всех!
Хотел узнать мнение компетентных людей...
Поскольку я не очень глубоко знаю JavaScript (с VBScript вообще не имел дела), то хотел бы узнать Вашу точку зрения:
- Какими, на ваш взгляд, слабыми и уязвимыми местами "славятся" эти скриптовые языки?
- Можно ли в этих скриптовых языках переполнять буферы, заваливать стек итд?
- Какие потенциальные опасные подводные камни они содержат?
- Возможно ли вообще "нетрадиционное" использование этих языков на этом уровне или невозможно вылезти за рамки виртуальной машины в принципе?
Могут ли они быть интересны с точки зрения мало-мальски серьезных атак?
Может, кто-то из вас уже сталкивался с этой проблемой и есть уже готовые решения?
Буду рад любым комментариям.
Заранее благодарен всем, кто откликнется.
|
|
Помогите с JavaScript пожалуйста 19.09.02 11:28
Автор: paganoid Статус: Member
|
> Приветствую всех!
>
> Хотел узнать мнение компетентных людей...
> Поскольку я не очень глубоко знаю JavaScript (с VBScript
> вообще не имел дела), то хотел бы узнать Вашу точку зрения:
>
> - Какими, на ваш взгляд, слабыми и уязвимыми местами
> "славятся" эти скриптовые языки?
Если речь идет исключительно о скриптовых языках в браузере (и тебя не интересует ни Windows Scripting Host etc, ни вариации javascript в flashе, jsp и т.п.), то ...
Слабые места - это cross site scripting. Конкретно в IE особо уязвима автоматизация ActiveX компонент (но это проблема разработчиков COM компонент, а не языка).
> - Можно ли в этих скриптовых языках переполнять буферы,
> заваливать стек итд?
Насколько память изменяет, в самих интерпретаторах этих языков дыр не находили. В Java находили, она тоже автоматизируется Javascroiptom. Если покопаться, видимо можно что-то нарыть.
> - Какие потенциальные опасные подводные камни они содержат?
CSS. Вставка скриптов с других страниц или чужих IFRAME .(хотя я не очень вопрос понял.)
> - Возможно ли вообще "нетрадиционное" использование этих
> языков на этом уровне или невозможно вылезти за рамки
> виртуальной машины в принципе?
Ну если автоматизировать COM компоненты, можно вылезти, см. выше.
>
> Могут ли они быть интересны с точки зрения мало-мальски
> серьезных атак?
Только атаки на клиента. Но любая атака может быть серьезной. Послал админу письмо с зловредным javascript, залил троян, получил его пароли к сайту. Или послал юзеру в сети, напрочь защищенной файрволами, залил троян, заломал всю сеть. Это серьезно или нет? ;)
>
> Может, кто-то из вас уже сталкивался с этой проблемой и
> есть уже готовые решения?
А в чем собственно, проблема-то ;) ? Готовое решение - не использовать IE вааапче ;)
>
> Буду рад любым комментариям.
>
> Заранее благодарен всем, кто откликнется.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
