Szkodliwe oprogramowanie, a programowanie webowe.

Question

Witajcie!

Na niedzielny wieczór mam takie pytanie do luźnej dyskusji. Otóż zastanawiam się na jak dużo w obecnym czasie pozwalają języki webowe jeśli chodzi o złośliwe oprogramowanie? To znaczy, czy samo wejście na jakąś stronę może być szkodliwe dla naszego komputera?

Podejrzewam, że jeśli chodzi o poziom niebezpieczeństwa to z pewnością będą przewodzić języki wykonywane po stronie użytkownika jak js (to dlatego jeszcze do niedawna go niektórzy wyłączali w przeglądarkach?? ), ale mogę się mylić.

Zapraszam do dyskusji! :D

Answer 1

To znaczy, czy samo wejście na jakąś stronę może być szkodliwe dla naszego komputera?

Tak, patrz tutaj: https://nakedsecurity.sophos.com/2016/06/20/ransomware-thats-100-pure-javascript-no-download-required/

Comments

Obecnie chrome nie pozwala skryptom JS dostać się do plików lokalnym komputerze klienta, więc chrome jest już raczej przed tym zabezpieczony.

---

Żadna współczesna przeglądarka na to nie pozwala. Jednoznacznie na postawione w tezie pytanie można odpowiedzieć: to zależy.

Z resztą tak jak wszystko. JS w przeglądarce ma mocno okrojone prawa do bardziej atrakcyjnych manipulacji bez wyraźnej zgody użytkownika. Problem jest taki, że... użytkownik się po prostu zgadza. I tym samym daje prawo do przechodzenia aplikacji (tak nazwijmy naszego potencjalnego szkodnika), pobierania plików, dostępu do kamery, mikrofonu i reszty możliwości jakie oferuje chociażby sam WebRTC. I problem pojawia się chociażby po pobraniu zainfekowanego pliku, który jest dość niepozorny dla przeciętnie słabego antywirusa, no bo hej, jaki lokalny HTML może stanowić większe zagrożenie dla użytkownika? A okazuje się, że w czasach FileAPI może sobie bezproblemowo wygenerować jakiś pliczek, a nasz średnio inteligentny użytkownik odpala sobie go i jak to się mawia "strange things are happening".

Podsumowując, korzystając świadomie i równie świadomie wybierając uprawnienia jakie przyznajemy różnym stronom zmniejszamy prawdopodobieństwo tego, że zostaniemy w jakiś sposób zaatakowani przez potężnego hakera ( ͡° ͜ʖ ͡°). Warto też wspomnieć, że ludzie to tylko ludzie, często przy implementacjach konkretnych rzeczy się mylą, a także people are awesome, ludzie to skurczybyki bobry, które wykorzystują owe błędy do swoich bardziej lub mniej ambitnych celów. Ostatni przykład, który obszedł się z szumem był bodajże wał z historyAPI, które przeciążone ilością danych powodowało crashowanie się przeglądarki. Anyway, producenci przeglądarek szybko łatają dziury w swoim oprogramowaniu i starają się utrzymać bezpieczeństwo użytkowników na wysokim poziomie. Jednym to wychodzi, innym mniej, ale przynajmniej się starają. I takim krokiem w ostatnim czasie było zablokowanie domyślnie, potencjalnie niebezpiecznej, wtyczki flash na stronach przez chrome.

Answer 2

Przykładem wykorzystnia JS'a jest podatność XSS. Jeśli strona jest podatna na taki atak, to możliwe jest wydobycie ciasteczek sesyjnych użytkownika jeśli wejdzie na stronę z wstrzykniętym złośliwym kodem javascript. Prócz tego, jeśli istnieje możliwość wstrzyknięcia złośliwego kodu to dalej jest możliwości sporo, które mogą się skończyć nawet przejęciem komputera ofiary

Answer 3

A jak jest jeśli chodzi o dostęp do informacji o użytkowniku, wykonywaniu czynności w tle albo ogólnie. Przecież sam js daje dostęp do obiektu okna, eventów związanych z myszką itd, co można by wykorzystać chociażby, do sterowaniem tego co robi użytkownik(?). Jak z tym jest?

Comments

Należy uciec z sandboxu