Могу ли лайф чаты взломать сайт засчет js вставки их кода?

Discussion in 'Песочница' started by dragondragon, 3 Nov 2020.

  1. dragondragon

    dragondragon Member

    Joined:
    8 May 2013
    Messages:
    66
    Likes Received:
    11
    Reputations:
    0
    Когда ставишь лайфчат на сайт то ставишь код наподобие такого
    <script src="//code.asd.com/widget/asd.js" async></script>

    Предположим владелец файла asd.js захочет взломать твой сайт, сервер, что бы получить доступ к базе/файлам может ли он код в asd.js поменять на вредоносный тем самым получить доступ к сайту?
    или через js это невозможно?
     
  2. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    590
    Likes Received:
    998
    Reputations:
    42
    Зависит от приложения, но в принципе возможно. Например, если аппликация не использует одноразовые токен (CSRF) то тот же JS может с куками пользователя допустим создать нового админа сайта (для этого конечно нужно знать структуру запроса).
     
    seostock and crlf like this.
  3. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    617
    Likes Received:
    1,244
    Reputations:
    394
    Одномоментно, так, как если бы вы разместили сторонний код в исполняемых файлах на сервере - нет. Но вполне осуществим вектор атаки применяемый в случае XSS, т.е. на клиента, например браузер. Когда атакующий заменит или добавит нужное содержимое в файл asd.js и вы войдете в административную часть сайта, он сможет наравне с вами использовать привилегированный доступ текущей сессии. Тем самым, продолжить атаку уже на сервер и впоследствии получить доступы к базе и файлам.
     
    DartPhoenix, оlbaneс and seostock like this.
Loading...