在Firefox 6中,由于安全风险(例如Facebook上的最新脚本),您无法再将javascript放在地址栏中。我知道它可以模拟你可以点击的任何东西,比如删除朋友和垃圾邮件墙贴,但最糟糕的是什么?由于跨域iframe javascript被禁用,它只能操纵你所在的页面,除非它根据cookie数据发送XMLHttpRequest。
facebook上的脚本到底是做了什么使它成为一个大问题?可以做的最糟糕的事情是什么?
答案 0 :(得分:3)
Javascript可以做任何你能做的事情。
例如,在Facebook上,它可以操纵朋友和帖子。
在“魔兽世界”中,它可以将所有资金和物品都提供给创建剧本的人。
在您的银行(由于银行不会有帖子要求人们投放javascript:网址),这可能会少一些,因此可能会清空您的银行帐户。
在任何网站上,它还可能在网站中创建一个伪造的登录表单,将您的凭据发送到恶意服务器 一个非常聪明的恶意脚本可以几乎无法检测到(通过处理链接点击和使用HTML5地址栏API)
答案 1 :(得分:0)
由于跨域操作,它只能操纵您正在使用的页面...
假。如果攻击者可以说服您在URL栏中输入一段JavaScript,他们也可能会说服您访问任何页面。我想最糟糕的情况是攻击者设法授予他或她自己以后利用的额外权限,或者抓住你的联系人列表或可能在随后的社会工程攻击中使用的个人详细信息。
但最重要的是,这种攻击能够以您目前拥有的任何级别的授权运行代码。因此,如果您登录网站,无论您在该网站上做什么,攻击者都可以这样做。实际上,这是更改一个人的密码或授予其他帐户访问权限的原因之一,即使已经登录,也几乎总是要求用户重新进行身份验证。 (因为JavaScript无法为您登录,除非攻击者已经拥有您的凭据,这无论如何都会使这种攻击变得毫无意义。因此,这将阻止攻击者无形地给予他或她自己的凭据或将密码更改为他/她控制下的密码。)
答案 2 :(得分:0)
白/灰帽子黑客可以做些什么: http://www.makeuseof.com/tag/how-to-hack-your-facebook-account-with-greasemonkey-javascript/ http://userscripts.org/tags/facebook http://www.hacktabs.com/facebook-javascript-codes/
黑帽黑客可以做些什么: (还没有测试刚从谷歌获得)http://www.youtube.com/watch?v=-S5CVJ09nMg 我知道在CTF竞赛中,我能够通过嵌入带有图像的脚本来检索帐户电子邮件,虽然这是一个低级别的竞争,所以安全性可能比Facebook差。
有趣的是,制作看起来像Facebook和社交工程师的人登录那里要比破解他们的实际Facebook更容易。同样在Android上你可以在facebook上弹出一个看不见的巢穴来拦截密码。禁用javascript并没有多大帮助。
答案 3 :(得分:0)
通常的回应是
如果人们愚蠢到在他们的计算机上运行不受信任的代码, 他们得到了他们应得的东西。
但是人们可能不知道他们正在运行不受信任的代码,或者它能够运行什么。删除javscript伪协议是浪费时间。
最好教育用户脚本可以从书签和地址栏运行,并且这些脚本具有他们作为用户所做的所有权限。并且浏览器可以区分地址栏脚本是否已键入,复制和粘贴,或者来自书签,并警告用户将要发生的事情(很像状态栏会告诉您链接将要发送给您的位置)。