Итак, сегодня у меня был очень хороший опыт в моих построенных системах. Какой-то парень «взломал» все и сказал, что это проблема аякса. Это то, что он сказал мне:Можно ли взломать AJAX?
вы полагаетесь на AJAX
, когда у меня есть доступ в браузер пользователя у меня есть доступ ко всем функциям AJAX вы написали для него , так что я могу сделать что-нибудь написано в вашем JavaScript притворяясь, что пользователь
, и это абсолютно рискованно - как можно получить доступ к пользовательским скриптам через ajax? Также я использую узел на сервере, но не может понять, где проблема .. пример Аякса:
var transfer_data = {
id: jQuery(this).data('spin-id')
};
jQuery.ajax({
url: init_s.forms.provably.callback,
type: 'POST',
dataType: 'JSON',
data: transfer_data,
success: function (data) {
console.log(data);
if (data.type == 'failed') {
jQuery('#check_modal').modal('toggle');
} else {
// add data
}
}, error: function (e) {
console.log(e.message);
}
});
и пример выполнения сценария узла:
socket.on('new_spin_entry', function (data) { ... });
socket.emit('new_spin_entry', {
entry_id: data.user_spin_data.id
});
так что щеколда это? как это возможно?
P.S. Я забыл упомянуть, что он вставил оповещение в мой скрипт, который был загружен на страницу. Не в сценарии сервера, но сценарии, которые были загружены на пользователя
PPS: это то, что я в состоянии видеть в консоли системы ATM снизился:
И что ваша архитектура для проверки подлинности запроса к серверу узла? – codebased
Если он может добавить к пользователю предупреждение, то это означает, что есть уязвимость XSS, которая является плохой. – epascarello
он вставил предупреждение в файл javascript, который был загружен с помощью DOM. –