Javascript 代码注入-可能的攻击方式_Javascript_Html_Security

Javascript 代码注入-可能的攻击方式

javascript html security

Javascript 代码注入-可能的攻击方式,javascript,html,security,Javascript,Html,Security,我的一个朋友成为他的网站代码注入的受害者。在某些页面中，插入了iframe（如果您对确切的代码感兴趣，我可以发布它）现在我在想这是怎么发生的——不幸的是，我不是网络编程专家（我通常用C/C++编写代码），因此我需要你的帮助。让我惊讶的是：这个网站是一个静态网站，只有HTML+CSS（甚至HTML5都没有，没有PHP，没有数据库和其他类似的东西）。唯一一个不是HTML而是JavaScript的小脚本是： <script language="jscript" type="text/javas

我的一个朋友成为他的网站代码注入的受害者。在某些页面中，插入了iframe（如果您对确切的代码感兴趣，我可以发布它）

现在我在想这是怎么发生的——不幸的是，我不是网络编程专家（我通常用C/C++编写代码），因此我需要你的帮助。让我惊讶的是：这个网站是一个静态网站，只有HTML+CSS（甚至HTML5都没有，没有PHP，没有数据库和其他类似的东西）。唯一一个不是HTML而是JavaScript的小脚本是：

<script language="jscript" type="text/javascript">
<!--
function navigation(id, link) {
    window.document.images[id].src = link;
}

function archiv (id)
{
 if (document.getElementById("link_" + id).style.display == 'none') {
  document.getElementById("link_" + id).style.display = "";
  }
 else   {
  document.getElementById("link_" + id).style.display = "none";
  }
 }
-->
</script>

以便在菜单中创建下拉效果

现在我的问题是：由于没有办法通过页面上的一些动态脚本注入代码：这个小脚本会受到攻击吗？如果没有：除了FTP服务器上的密码攻击之外，还有没有其他方式可能导致损坏？

这段javascript代码不太可能是一个安全漏洞。Javascript在客户端而不是服务器上执行。Javascript在服务器上造成任何损坏的唯一方法是以某种方式与服务器通信（如使用xmlHttpRequest）并攻击有漏洞的脚本。但在这种情况下，该漏洞将是服务器上的脚本。当javascript中存在漏洞时，通常对用户有害，而不是对服务器有害（比如XSS攻击，它窃取用户的cookie并允许其他人登录其帐户）

当服务器上确实没有您所说的活动内容时，攻击可能发生在完全不同的载体上

您确定Web服务器上确实没有活动内容吗？当它是共享主机时，可能会有一些预安装的管理工具，这些工具可能容易受到攻击

也许管理员使用了弱FTP密码？或者对不可信的服务使用了相同的密码，他注册了一个电子邮件地址，比如admin@domain.com正如您所知，Javascript（在此上下文中）是客户端的东西。它没有告诉我们相关服务器上的安全性（或缺乏安全性；）如果，我不知道，有人在他们浏览器的URL栏中键入类似于

javascript:archiv（'codeInjection'）

的东西会怎么样？所以，是的，我猜是有人“直接”入侵了服务器。这可能更适合security.stackexchange.com，因为有很多方法可以攻击Web服务器并更改内容。不知道security.se.com-这个地方发展得有点快；）Thx的答案-该网站是托管使用一个非常基本的包在一个定期托管提供商，所以不是在自己的服务器上。我假设提供商使用虚拟服务器，但我不知道。由于它是一个非常基本的包，我们甚至没有根访问权限或类似的权限，只有FTP访问权限才能上传files@Chris当你可以100%确定你的密码没有被泄露时，你应该将事件通知主人，除非他们立即处理问题，否则你应该识别并修复它（考虑到你似乎已经选择了能找到的最便宜的报价，这不太可能），你应该搬到其他地方。