代码注入 - 可能的攻击方式

时间:2013-12-25 23:22:24

标签: javascript html security

我的一个朋友成为他网站代码注入的受害者。在某些页面中,插入了一个iframe(如果您对确切的代码感兴趣,我可以发布它。)

现在我正在考虑如何发生这种情况 - 不幸的是,我不是网络编程方面的专家(我通常用C / C ++编写代码),因此我需要你的帮助。令我感到惊讶的是:网站是一个静态网站,只有HTML + CSS(甚至不是HTML5,没有PHP,没有数据库和其他类似的东西)。唯一不是HTML的小脚本,但JavaScript就是这个小东西:

<script language="jscript" type="text/javascript">
<!--
function navigation(id, link) {
    window.document.images[id].src = link;
}

function archiv (id)
{
 if (document.getElementById("link_" + id).style.display == 'none') {
  document.getElementById("link_" + id).style.display = "";
  }
 else   {
  document.getElementById("link_" + id).style.display = "none";
  }
 }
-->
</script>

以便在菜单中创建下拉效果。

现在我的问题是:由于没有办法通过页面上的某些动态脚本注入代码:这个小脚本会受到攻击吗?如果没有:除了FTP服务器上的密码攻击外,还有其他办法 - 可能造成损害吗?

1 个答案:

答案 0 :(得分:1)

这个javascript片段不太可能是一个安全漏洞。 Javascript在客户端上执行,而不是在服务器上执行。 Javascript在服务器上造成任何损害的唯一方法是,它会以某种方式与服务器进行通信(如xmlHttpRequest)并在那里攻击易受攻击的脚本。但在这种情况下,漏洞将是服务器上的脚本。当javascript存在漏洞时,通常会对用户造成损害,而不是服务器(如XSS攻击窃取其cookie并允许其他人登录其帐户)

如果您说服务器上确实没有活动内容,则攻击可能发生在完全不同的矢量上。

您确定网络服务器上确实没有活动内容吗?当它是共享主机时,可能存在一些可能容易受到攻击的预安装管理工具。

也许管理员使用弱FTP密码?或者使用相同的密码进行某些不值得信任的服务,例如他在admin@domain.com这样的电子邮件地址注册?