使用JavaScript是否存在严重威胁

Question

有些人在浏览器中禁用javascript以获得更高的安全性。我想知道javascript脚本中是否存在任何严重威胁？ 我在一本书中读到javascript脚本中没有任何严重的安全问题！

Answer 1

Javascript可被利用用于多种众所周知的常见攻击，包括Cross-Site Scripting (XSS)和Cross-Site Request Forgery (XSRF)。

就像任何技术一样。它可以用于好的或坏的。我不是说禁用它，但其中任何一个都可以被视为“严重威胁”而且值得了解。

Answer 2

你应该扔掉那本书。

JavaScript可能非常危险。如果攻击者修改了曾经是安全网站的JavaScript，他们就可以在该网站的JavaScript中进行恶意执行。他们还可以在您进入后立即伪造执行恶意JavaScript的网站;就像假的FaceBook或Twitter网站之类的东西，只因为你在网页上拼错Facebook或Twitter。

Answer 3

Javascript中的漏洞在于它驻留在客户端。通过启用Javascript，如果您访问其中存在漏洞的网站，则会面临风险。如果有人通过将javascript插入到抓取会话cookie的页面来攻击网站，那么攻击者就可以登录到该网站。

大多数大型网站都足够安全，这不是主要问题。

Answer 4

与任何技术一样，您不能说它完全安全或完全不好。问题是它背后的真正风险是什么。

据我所知，有两个主要风险：

• 客户端网络攻击：

  • Cross-Site Scripting ：当攻击者在合法网站中包含恶意内容时，此攻击会附加，此代码将在您加载页面时由浏览器执行。攻击者cna使用浏览器理解的任何语言，因此它将使用Javascript，因为它是当今更强大的语言。
  • Cross Site Request Forgery ：由于网站存在漏洞，攻击者可以使用您的帐户在此网站上启动操作，假设您已登录此网站。例如，如果您使用Twitter并且如果Twitter存在此类漏洞，则攻击者可能会向您发送一封电子邮件，其中包含指向恶意网站的链接，该恶意网站将向您的帐户发送请求并发布新的推文。请注意，此CSRF攻击可以从具有XSS的合法网站启动。

  • 如果你想估计这种攻击的风险，很少有例子很有意思：

    • 55% of the websites tested by White Hat Security在2012年有XSS漏洞
    2010年
    • ，apache.org was compromised使用XSS窃取管理员凭据
    • 2008年，a CSRF vulnerability in ING website（网上银行）允许启动汇款
    • 一个名为BeEF 的工具允许发起此类攻击，因此提供了客户端Web攻击背后潜在影响的良好示例。

• 客户端软件中的漏洞

  • 由于Javascript是一种复杂的语言，因此无论是在浏览器中还是在其他实现JavaScript的软件中，都会在Javascript实现中发现许多漏洞（Adobe Reader就是一个很好的例子）。这种漏洞可以允许从恶意网页或恶意文档在您的计算机上执行代码。现在，沙箱使开发变得更加困难，但复杂的软件仍然存在很多漏洞。例如，在过去五年中，主要浏览器都在Pwn2Own challenge受到了损害。
  • 因此，禁用Javascript也可以显着降低风险

您还应该注意，存在插件可以轻松停止为用户停用Javascript，例如着名的Firefox NoScript插件