通过登录“隐藏”安全漏洞的旧javascript库?
让我们设想一个web应用程序,您需要在其中登录才能使用所有功能。因此,如果您没有任何帐户,则无法使用该应用程序,也无法自行创建帐户通过登录“隐藏”安全漏洞的旧javascript库?,javascript,security,Javascript,Security,让我们设想一个web应用程序,您需要在其中登录才能使用所有功能。因此,如果您没有任何帐户,则无法使用该应用程序,也无法自行创建帐户 我在看安全问题。其中一部分是查看使用的旧javascript库。。。但真的有必要升级它们以消除安全漏洞吗?黑客需要登录才能利用javascript库?假设易受攻击的JS根本不提供给未登录的用户。这是一个很大的假设 攻击者可以通过XSS、CSRF和社会工程等技术通过合法用户的浏览器发起攻击。合法用户可能成为流氓,或者密码落入攻击者手中 修补你的安全漏洞。不要假设坏的参
我在看安全问题。其中一部分是查看使用的旧javascript库。。。但真的有必要升级它们以消除安全漏洞吗?黑客需要登录才能利用javascript库?假设易受攻击的JS根本不提供给未登录的用户。这是一个很大的假设 攻击者可以通过XSS、CSRF和社会工程等技术通过合法用户的浏览器发起攻击。合法用户可能成为流氓,或者密码落入攻击者手中
修补你的安全漏洞。不要假设坏的参与者无法攻击他们。假设易受攻击的JS根本没有提供给未登录的用户。这是一个很大的假设 攻击者可以通过XSS、CSRF和社会工程等技术通过合法用户的浏览器发起攻击。合法用户可能成为流氓,或者密码落入攻击者手中 修补你的安全漏洞。不要以为坏演员无法接近他们 因此,如果您没有任何帐户,则无法使用该应用程序,也无法自行创建帐户 [……] 黑客需要登录才能利用javascript库 让我在这里挑战你的基本假设。黑客不是外来势力。让我们用他们的名字来称呼他们:恶意用户。这里有两个基本问题: 没有人需要拥有用户帐户才能使用您的应用程序。拥有较少的特权仍然意味着他们最多只能以较小的容量使用它。 拥有用户帐户的人可能是恶意的。 到目前为止,这些都是你假设中最大的问题。接下来的一个问题是,外人仍然可以通过以下方式获得您不打算为他们提供的访问权限: 特权升级-早在2019年5月就发生过这样的事件。发生在一个网站上。 社会工程-通过社会工程攻击开始。 即使是通过未经授权的方式盗取账户——迄今为止最大的数据泄露是。没有准确的信息表明这会产生什么样的全面影响,但攻击者很容易就可以在另一个服务上冒充一个使用Yahoo.com电子邮件注册的用户。 到目前为止,这仅仅是外部人员获得更多的访问您的系统的权限。让我们回头看看你的用户 已经拥有用户帐户的不满者也可能恶意行事。这并非闻所未闻,而且是实际安全事件的重要组成部分。一些案例研究: 是由一名员工从内部发起的。 一名雇员也做了类似的事情。 现在,我真的不知道你是否比Stack Exchange、Yahoo!等公司更擅长安全性,或者有更多的资源来处理问题!,或者特斯拉。也许,仍然值得指出的是,这是由于疏忽造成的。由于部分Equifax员工出现了大量因果故障,所用框架中的安全漏洞没有及时修补 因此,如果您没有任何帐户,则无法使用该应用程序,也无法自行创建帐户 [……] 黑客需要登录才能利用javascript库 让我在这里挑战你的基本假设。黑客不是外来势力。让我们用他们的名字来称呼他们:恶意用户。这里有两个基本问题: 没有人需要拥有用户帐户才能使用您的应用程序。拥有较少的特权仍然意味着他们最多只能以较小的容量使用它。 拥有用户帐户的人可能是恶意的。 到目前为止,这些都是你假设中最大的问题。接下来的一个问题是,外人仍然可以通过以下方式获得您不打算为他们提供的访问权限: 特权升级-早在2019年5月就发生过这样的事件。发生在一个网站上。 社会工程-通过社会工程攻击开始。 即使是通过未经授权的方式盗取账户——迄今为止最大的数据泄露是。没有准确的信息表明这会产生什么样的全面影响,但攻击者很容易就可以在另一个服务上冒充一个使用Yahoo.com电子邮件注册的用户。 到目前为止,这仅仅是外部人员获得更多的访问您的系统的权限。让我们回头看看你的用户 已经拥有用户帐户的不满者也可能恶意行事。这并非闻所未闻,而且是实际安全事件的重要组成部分。一些案例研究: 是由一名员工从内部发起的。 一名雇员也做了类似的事情。 现在,我不知道你是否在安全方面做得更好或者手头有更多的资源
比Stack Exchange、Yahoo!等公司更容易出现问题!,或者特斯拉。也许,仍然值得指出的是,这是由于疏忽造成的。由于Equifax员工出现了大量的因果关系故障,所用框架中的安全漏洞没有及时修补。黑客需要登录才能利用javascript库?不一定。假设其中一个库从URL获取查询字符串,并将其添加为HTML。那么,恶意用户只需向某人发送yourapp.com/logged/in/area/?q=alertyXSS的链接就足够了。然后受害者登录,攻击结束。这只是一个更明显的例子,还有许多其他攻击不需要黑客登录。以及其他许多允许黑客登录的软件。黑客可能已经是合法用户了。黑客需要登录才能利用javascript库?不一定。假设其中一个库从URL获取查询字符串,并将其添加为HTML。那么,恶意用户只需向某人发送yourapp.com/logged/in/area/?q=alertyXSS的链接就足够了。然后受害者登录,攻击结束。这只是一个更明显的例子,还有许多其他攻击不需要黑客登录。以及其他许多允许黑客登录的软件。黑客可能已经是合法用户了。人们普遍错误地认为,只有从无法访问到完全访问的安全风险才是一个问题,但介于两者之间的任何一小步都可能是一个问题。即使几乎完全访问一点点,或者正常用户访问正常用户访问,但可以看到管理员是谁。所有这些都会累积成一个巨大的问题。不要忽视一个看似小问题的问题。人们普遍错误地认为,只有从无法访问到完全访问的安全风险才是一个问题,但介于两者之间的任何一小步都可能是一个问题。即使几乎完全访问一点点,或者正常用户访问正常用户访问,但可以看到管理员是谁。所有这些都会累积成一个巨大的问题。不要忽视看似小事的事情。