हमें जावास्क्रिप्ट में कोड इंजेक्शन के बारे में क्यों पता होना चाहिए?

Question

मैं सिर्फ शोध कर रहा था, eval() फ़ंक्शन का उपयोग क्यों खराब है और मुझे कोड इंजेक्शन हमलों के लिए कमजोर होने का एक कारण मिला (पोस्ट: Why is using the JavaScript eval function a bad idea?)।

लेकिन मेरा सवाल है, क्या हमें जावास्क्रिप्ट में कोड इंजेक्शन के बारे में चिंतित होने की आवश्यकता है? क्योंकि, यदि कोई उपयोगकर्ता किसी वेबसाइट के लिए कोई जेएस स्क्रिप्ट चलाने के लिए चाहता है, तो वह इसे कंसोल में चलाकर कर सकता है।

तो, मैं बस सोच रहा हूं कि यह कितना अतिरिक्त नुकसान हो सकता है, अगर कोई मेरे जावास्क्रिप्ट कोड में अपना कोड इंजेक्ट करने में सफल होता है?

संपादित
नीचे ओलियंडर के जवाब के आधार पर, मैं जोखिम में से एक रास्ता मिल गया है जब हम ब्राउज़र और सर्वर के माध्यम से AJAX कॉल के बीच संचार की है। यह सही समझ में आता है। लेकिन मेरे पास जावास्क्रिप्ट प्रोग्राम हो सकते हैं जो केवल ब्राउज़र में चलते हैं और बैकएंड के लिए कोई संचार नहीं है, उदाहरण के लिए कैलकुलेटर या सरल गेम। तो यहां मेरा पूरक प्रश्न है, क्या कोई अन्य कारण है जो इन कार्यक्रमों को कमजोर बना सकता है?

Answer 1

सुरक्षा समस्या तब होती है जब कोई हैकर उपयोगकर्ता द्वारा किए गए JSON अनुरोध में हानिकारक कोड इंजेक्ट करता है, जिसका मूल्यांकन eval का उपयोग करके किया जाता है।

कल्पना कीजिए निम्नलिखित कोड भागा जा रहा है

$.get("/get.json", function(data){ 
    var obj = eval(data) // String to javascript object 
}); 

संसाधन इस

GET /get.json 
{ 
    some: "data" 
} 

तरह लग रहा है लेकिन एक हमलावर अब एक man in the middle attack

function(){ 
    // send window.cookie to attacker 
}(); 

हमलावर उपयोग करने के साथ ऊपर की जगह उपयोगकर्ताओं के सत्र तक पहुंच है।

Answer 2

ठीक है अगर आपका कोड क्वेरी स्ट्रिंग से मूल्य लेता है और इसे एक eval में उपयोग करता है, तो हमलावर अपने शिकार को बुरी क्वेरी स्ट्रिंग वाले यूआरएल पर जाने के लिए लुभाने सकता है।

OWASP से:

<script> 
function loadObj(){ 
var cc=eval('('+aMess+')'); 
document.getElementById('mess').textContent=cc.message; 
} 

if(window.location.hash.indexOf('message')==-1) 
    var aMess="({\"message\":\"Hello User!\"})"; 
else 
    var aMess=location.hash.substr(window.location.hash.indexOf('message=')+8); 
</script> 

हमलावर एक लिंक वाला एक ईमेल भेज सकते हैं या यूआरएल

http://example.com/page.html?message=<img onerror="alert(xss)"> 

करने के लिए अपने दुर्भावनापूर्ण साइट पर जाकर एक उपयोगकर्ता अनुप्रेषित सकता है तो फिर तुम एक डोम आधारित XSS हमले की है।

यदि आपका बैकएंड वाला कोई गेम साइट पर अन्य संवेदनशील जानकारी वाले साइट पर है, तो उपयोगकर्ता सत्रों के बाद, हमलावर के लिए सत्र कुकीज़ चोरी करना या प्रमाण-पत्र प्राप्त करना संभव हो सकता है। यह सब इस बात पर निर्भर करता है कि जावास्क्रिप्ट के पास क्या पहुंच है। यही है, इसकी होस्टिंग डोमेन तक इसकी पूरी पहुंच होगी क्योंकि वही मूल नीति इसे प्रतिबंधित कर देगी। हालांकि, अगर आपके यहां अन्य संवेदनशील अनुप्रयोग हैं तो उन्हें समझौता किया जा सकता है। यदि नहीं, तो सबसे खराब हमलावर उस सामग्री को बदलने या उपयोगकर्ता द्वारा आपकी साइट पर जो कुछ भी करता है उसकी निगरानी करके उपयोगकर्ता द्वारा आपकी साइट पर विश्वास का दुरुपयोग कर सकता है।