За последние 24 часа нас посетили 60330 программистов и 1819 роботов. Сейчас ищут 843 программиста ...

Проверка плагинов на уязвимость

Тема в разделе "PHP для новичков", создана пользователем pircul, 5 мар 2015.

  1. pircul

    pircul Активный пользователь

    С нами с:
    14 янв 2014
    Сообщения:
    100
    Симпатии:
    0
    Часто нужно бывает устанавливать на сайт jquery плагины но как проверить их на уязвимость? Существуют ли проверенные утилиты для проверки плагинов?
     
  2. mkramer

    mkramer Суперстар
    Команда форума Модератор

    С нами с:
    20 июн 2012
    Сообщения:
    8.600
    Симпатии:
    1.764
    А какие уязвимости могут быть в jQuery-плагинах?
     
  3. pircul

    pircul Активный пользователь

    С нами с:
    14 янв 2014
    Сообщения:
    100
    Симпатии:
    0
    Кража куки, например
     
  4. MouseZver

    MouseZver Суперстар

    С нами с:
    1 апр 2013
    Сообщения:
    7.818
    Симпатии:
    1.333
    Адрес:
    Лень
    На сколько сам создатель был заинтересован в защите данных и в правильном написании кода.
     
  5. Забудь про jquery. Лучше об стену убиться
     
  6. mkramer

    mkramer Суперстар
    Команда форума Модератор

    С нами с:
    20 июн 2012
    Сообщения:
    8.600
    Симпатии:
    1.764
    Интересный совет... Вы что, всё на чистом JS пишите?

    От кражи куки лучше защититься привязкой сессии к IP или чем-либо в этом роде, чтоб просто бесполезно было воровать. А так - анализ исходного кода. Для того, чтобы украсть куку из JS, нужно её на левый адрес отправлять.
     
  7. Да.
     
  8. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.128
    Симпатии:
    1.248
    Адрес:
    там-сям
    секурность сессионной куки можно повысить через опцию httponly

    чтобы краденое не работало, используют nonce
     
  9. Что мешает злоумышленнику, перехватив nonce от сервера и кодированный пароль от клиента раскодировать эту строку и узнать пароль? Ведь JS - отрытый код, следовательно можно узнать алгоритм шифрования, а зная такой алгоритм можно построить обратный.
     
  10. pircul

    pircul Активный пользователь

    С нами с:
    14 янв 2014
    Сообщения:
    100
    Симпатии:
    0
    С куками все ясно. Что если это вредоносный код который подгружается из стороннего сайта? Исследовать исходный код каждого плагина занимает много времени. Неужели нет утилиты?
     
  11. Не используйте чужой код. Пишите сами. И ни в коем случае не пользуйтесь библиотекой jquery!!! И будем Вам счастье =)
     
  12. mkramer

    mkramer Суперстар
    Команда форума Модератор

    С нами с:
    20 июн 2012
    Сообщения:
    8.600
    Симпатии:
    1.764
    ???, слайдеры - руками, табы - руками, диалоги - руками, AJAX - руками. Тяжко, однако. $.get или $.put вызвать гораздо проще, чем получать XMLHttpRequest 3-мя способами :))) pircut, известные javascript-библиотеки скорее всего не содержат вредоносного кода, поэтому не заморачивайтесь.
     
  13. еще проще пойти соснуть другому, чтоб тот все сделал.
    Со временем у разработчика появляются собственные библиотеки с реально нужным функционалом, а не этим хламом говна как jquery и ей подобные =)
     
  14. romach

    romach Старожил

    С нами с:
    26 окт 2013
    Сообщения:
    2.904
    Симпатии:
    719
    Таких разработчиков с "собственными реальными библиотеками" надо клеймить, что бы нормальные люди после них хм... код не разгребали.
     
  15. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.128
    Симпатии:
    1.248
    Адрес:
    там-сям
    Своих плагинов врядли нужно бояться. Бойся пользовательского контента — он не должен выводиться без должной обработки.