如果您有一个 HTML5 游戏厅,允许用户上传一个使用 HTML5 和 Javascript 运行游戏的脚本,假设您的输入没有过滤器(除了只允许 JS 和 HTML),那么潜在的安全风险是什么?陷阱?
一种不太可能的可能性是,如果游戏很受欢迎,那么它们内部可能有一个休眠的 ddos 脚本,如果游戏足够受欢迎,该脚本可以发起 ddos 攻击。
偷饼干是另一回事,但如果有人有一个完整的列表,或者任何其他想法,那么听听它们会很有趣。
允许上传 JavaScript 并运行,为攻击者提供了很多选择。
See 跨站脚本(维基百科)等等OWASP.
一般来说 - 如果您允许这样做,那么攻击者就可以发布any代码、重定向用户、利用浏览器、安装病毒等等。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)