问题标签 [client-side-attacks]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - Nodejs基于javascript,用户是否有可能破解代码
就我的理解而言,我想知道,由于 NodeJS 基于 JavaScript,最终用户是否有可能以导致安全漏洞的方式破解代码。
我的意思是,由于 NodeJS 是 JavaScript,而 JavaScript 通常在浏览器上运行,那么访问应用程序的最终用户是否有可能查看应用程序的业务逻辑?
特别是 JavaScript 在基于浏览器的编码中的已知安全漏洞或预防措施是否扩展到服务器端编程?或者是否存在其他服务器端语言中没有的 NodeJS 特有的其他特定漏洞?
javascript - HTML 和 Javascript 文件受到攻击
我的 IIS 服务器中有许多 javascript 和 html 文件。几天前,一些奇怪的代码注入到文件中。代码如下。
我已从所有 javascript 文件中删除了此代码。请帮助我了解这些代码是如何注入到我在服务器中的文件中的。我经历过 XSS 攻击。但我什么也找不到。提前致谢。
security - 我应该将所有 UUIDv4 生成的 oAuth2 Bearer Tokens 保留在我的数据库中以防止攻击吗?
我生成 oauth2 访问和刷新令牌并将它们存储在我的数据库中。我使用 UUID v4 生成这些令牌并删除破折号。我曾经在令牌过期后删除它们,但现在我将它们全部存储起来,因为我想到了可能发生的事情。
如果攻击者在本地存储了为他生成的所有访问令牌,并且他不断地一次又一次地使用这些访问令牌进行授权,该怎么办。由于我作为数据库管理员正在删除生成的令牌,因此数据库无法知道令牌是唯一的。因此,如果 UUIDv4 算法为不同的用户生成访问令牌并且这是一个冲突(与之前生成的 UUID 相同)并且攻击者发现了该冲突,他可以进入服务,因为他拥有之前生成的令牌。
我的问题是我应该担心这一点并保留我的所有令牌以防发生冲突以检查唯一性,还是应该在它们过期后删除访问和刷新令牌并相信 UUIDv4 有足够的熵来防止这种情况发生?
我还担心,如果我保留所有令牌,它将使数据库膨胀,因为访问令牌每小时到期一次,并且在用户下次采取行动时重新生成。
任何帮助表示赞赏!
java - 客户端跨帧脚本攻击解决
我们开发了一个新应用程序,在移动更改之前,我们使用 checkmarx 对代码进行了静态扫描。在名为 Client Cross Frame Scripting Attack 的代码中发现了一个中等级别的漏洞。
这是在 JSP 页面的第一行发现的:
你能帮我理解这种攻击吗?应该怎么做才能消除这种攻击?
jsp - 跨站点历史操作解决方案
我们开发了一个新应用程序,在移动更改之前,我们使用 checkmarx 对代码进行了静态扫描。在名为 Cross Site History Manipulation 的代码中发现了一个中等级别的漏洞。
这在我验证会话值的 JSP 页面中被删除:
你能帮我理解这个漏洞吗?应该怎么做才能消除这个漏洞?
dns - DNS 重新绑定:它是如何工作的?
我一直在对 DNS 重新绑定攻击进行一些研究,但我无法理解实际的重新绑定是如何发生的。最有用的资源是 Robert Hansen 的这段视频。
我不太明白的一件事是:攻击者是否必须拥有 DNS 服务器才能使攻击起作用?如果是这样,目标是否必须向攻击者的服务器发出请求?或者它适用于任何可用的 DNS,并且浏览器内部有一些东西会强制重新绑定?
javascript - 单选按钮和复选框。防止更改 value 属性
所以你有一个带有预定义值的复选框或单选按钮要发送到数据库:
但是出于恶意的某人或脚本可以使用例如基本的“浏览器页面检查”轻松更改复选框/单选按钮的值,然后将其他值发送到数据库。例如:
怎么能阻止那些家伙?谢谢你。
executable - 如何减慢程序执行速度
我有一个简单的可执行二进制文件。它将用户提供的字符串作为输入,并使用strcmp. 我怎样才能减慢这个程序的执行速度,以便我可以对字符串比较发起统计时间攻击?目前,提前退出的性质strcmp太轻微而无法检测到。
假设我有本地权限,二进制文件由另一个用户拥有,并且系统ulimit受到保护以防止分叉炸弹。
虽然我知道我可以使用字符串命令或逆向工程来获取私有字符串,但这旨在作为对现代系统上已编译程序进行定时攻击的可行性的 POC。
apache - Logjam 确定站点是否易受攻击
最近又发布了一种 TLS 攻击:Logjam。该问题有一个非常清晰的描述,并表明使用 512 密钥大小的站点是易受攻击的,“解密客户端服务器密钥交换”最多需要 10 分钟。
基于攻击性质,客户端和服务器应该容易受到这种类型的攻击是可以理解的。似乎只有最近的浏览器才实施了安全修复来缓解此漏洞。但是,如果您正在使用“常用”Web 应用程序并且还被迫支持 IE 8、9+ 和其他浏览器,那么大多数用户不太可能在客户端安装安全补丁。
如果密钥大小为 1024 位,了解服务器是否易受攻击是很有趣的。根据 Logjam 描述,这只是一个建议/建议:“最好有一个 2048 位的密钥”。 此在线测试提供以下信息:
警告!该站点使用一个共同共享的 1024 位 Diffie-Hellman 组,并且可能处于被民族国家破坏的范围内。为站点生成一个唯一的 2048 位组可能是个好主意。
这是否意味着该站点可能存在漏洞?
security - 流星站点受到攻击。帮助使用 Sikka
我的网站目前正受到攻击。我创建了一个用户目录,该目录自动将最后登录的人放在首位。加载主页的人将被放置在顶部。
我有一个用户(至少一个已登录,不确定是否有更多已注销)正在不停地刷新页面并减慢网站速度。该站点使用大量图像,因此现在变得慢得多。
我安装了 sikka: https ://github.com/meteorhacks/sikka
但我有一些问题。特别是三大问题:
我设置了包,它似乎并没有阻止攻击。无论如何,我仍然看到用户重新加载。
我运行我的本地服务器(localhost:3000),它在那里运行得很好,实际上它不会让我做任何事情。我加载页面,无论如何它都会带我进入验证码页面。我点击后它会一直把我带到那里。所以我不能在安装了包的网站上做任何工作。
我不得不把这个功能变成“onlyForHumans”。它基本上要求所有用户确认他们不是机器人,这显然是一个巨大的不便。不仅如此,它还会过期并继续询问。这已经停止了攻击,但显然我不能像这样离开网站。我会影响我的注册率等。
有人可以帮我配置吗?对于速率限制,每个 IP 的适当设置是什么?我有它的默认设置,但没有“onlyForHumans”设置,它什么都不做,同样糟糕的是,在本地出现问题。
任何帮助表示赞赏!