> Приветствую всех! > > Хотел узнать мнение компетентных людей... > Поскольку я не очень глубоко знаю JavaScript (с VBScript > вообще не имел дела), то хотел бы узнать Вашу точку зрения: > > - Какими, на ваш взгляд, слабыми и уязвимыми местами > "славятся" эти скриптовые языки?
Если речь идет исключительно о скриптовых языках в браузере (и тебя не интересует ни Windows Scripting Host etc, ни вариации javascript в flashе, jsp и т.п.), то ...
Слабые места - это cross site scripting. Конкретно в IE особо уязвима автоматизация ActiveX компонент (но это проблема разработчиков COM компонент, а не языка).
> - Можно ли в этих скриптовых языках переполнять буферы, > заваливать стек итд?
Насколько память изменяет, в самих интерпретаторах этих языков дыр не находили. В Java находили, она тоже автоматизируется Javascroiptom. Если покопаться, видимо можно что-то нарыть.
> - Какие потенциальные опасные подводные камни они содержат?
CSS. Вставка скриптов с других страниц или чужих IFRAME .(хотя я не очень вопрос понял.)
> - Возможно ли вообще "нетрадиционное" использование этих > языков на этом уровне или невозможно вылезти за рамки > виртуальной машины в принципе?
Ну если автоматизировать COM компоненты, можно вылезти, см. выше.
> > Могут ли они быть интересны с точки зрения мало-мальски > серьезных атак?
Только атаки на клиента. Но любая атака может быть серьезной. Послал админу письмо с зловредным javascript, залил троян, получил его пароли к сайту. Или послал юзеру в сети, напрочь защищенной файрволами, залил троян, заломал всю сеть. Это серьезно или нет? ;)
> > Может, кто-то из вас уже сталкивался с этой проблемой и > есть уже готовые решения?
А в чем собственно, проблема-то ;) ? Готовое решение - не использовать IE вааапче ;)
> > Буду рад любым комментариям. > > Заранее благодарен всем, кто откликнется.
Хотел узнать мнение компетентных людей...
Поскольку я не очень глубоко знаю JavaScript (с VBScript вообще не имел дела), то хотел бы узнать Вашу точку зрения:
- Какими, на ваш взгляд, слабыми и уязвимыми местами "славятся" эти скриптовые языки?
- Можно ли в этих скриптовых языках переполнять буферы, заваливать стек итд?
- Какие потенциальные опасные подводные камни они содержат?
- Возможно ли вообще "нетрадиционное" использование этих языков на этом уровне или невозможно вылезти за рамки виртуальной машины в принципе?
Могут ли они быть интересны с точки зрения мало-мальски серьезных атак?
Может, кто-то из вас уже сталкивался с этой проблемой и есть уже готовые решения?
Буду рад любым комментариям.
Заранее благодарен всем, кто откликнется.
Помогите с JavaScript пожалуйста19.09.02 11:28 Автор: paganoid Статус: Member
> Приветствую всех! > > Хотел узнать мнение компетентных людей... > Поскольку я не очень глубоко знаю JavaScript (с VBScript > вообще не имел дела), то хотел бы узнать Вашу точку зрения: > > - Какими, на ваш взгляд, слабыми и уязвимыми местами > "славятся" эти скриптовые языки?
Если речь идет исключительно о скриптовых языках в браузере (и тебя не интересует ни Windows Scripting Host etc, ни вариации javascript в flashе, jsp и т.п.), то ...
Слабые места - это cross site scripting. Конкретно в IE особо уязвима автоматизация ActiveX компонент (но это проблема разработчиков COM компонент, а не языка).
> - Можно ли в этих скриптовых языках переполнять буферы, > заваливать стек итд?
Насколько память изменяет, в самих интерпретаторах этих языков дыр не находили. В Java находили, она тоже автоматизируется Javascroiptom. Если покопаться, видимо можно что-то нарыть.
> - Какие потенциальные опасные подводные камни они содержат?
CSS. Вставка скриптов с других страниц или чужих IFRAME .(хотя я не очень вопрос понял.)
> - Возможно ли вообще "нетрадиционное" использование этих > языков на этом уровне или невозможно вылезти за рамки > виртуальной машины в принципе?
Ну если автоматизировать COM компоненты, можно вылезти, см. выше.
> > Могут ли они быть интересны с точки зрения мало-мальски > серьезных атак?
Только атаки на клиента. Но любая атака может быть серьезной. Послал админу письмо с зловредным javascript, залил троян, получил его пароли к сайту. Или послал юзеру в сети, напрочь защищенной файрволами, залил троян, заломал всю сеть. Это серьезно или нет? ;)
> > Может, кто-то из вас уже сталкивался с этой проблемой и > есть уже готовые решения?
А в чем собственно, проблема-то ;) ? Готовое решение - не использовать IE вааапче ;)
> > Буду рад любым комментариям. > > Заранее благодарен всем, кто откликнется.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
