elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  javascript seguridad eval
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: javascript seguridad eval  (Leído 1,647 veces)
matake

Desconectado Desconectado

Mensajes: 23


Ver Perfil
javascript seguridad eval
« en: 25 Julio 2016, 00:00 am »

Hola,

Ya he leído por todos los lados lo del "eval es evil" etc ... aunque la mayoría se resumen a decir que es malo pero no argumentan el porque.
Investigando mas y mas encontré también explicaciones como:
"que se puede ejecutar codigo arbitrario o de terceros".

Todavía estoy en fase de experimentos y he pensado en una minificacion javascript
De los que he probado me gusto UglifiJS2 http://lisperator.net/uglifyjs/
Pero me di cuenta que si empleo el packer http://dean.edwards.name/packer/
la minificacion es mucho mas efectiva ( sobre todo si antes de minificar voy a reunir todos los script en un unico fichero ) ya que el packer minifica todas las palabras que se repiten dentro del código ... incluido propriedades css ... palabras reservadas del proprio javascript ... etc ... o sea todo.

Lo que pasa con packer es que para restaurar los script en el cliente emplea eval()

Entonces mi pregunta seria:
¿Si empleo un chequeo de tipo suma hash antes del eval, reduce este el riesgo de seguridad que supone dicha "function del diablo" :D ?

Igual para los scripts recibidos como JSON la misma pregunta de antes.

Gracias

P.D.
Del lado servidor tengo:
https (TLS)
en apache securizando cabeceras (entre otras):
Código
  1. Header always set X-Frame-Options "SAMEORIGIN"
  2. Header always set X-Xss-Protection "1; mode=block"
  3. Header always set X-Content-Type-Options "nosniff"
  4. Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  5.  

saneadas todas las variables de entrada (3 filtros )



En línea

engel lex
Colaborador
***
Desconectado Desconectado

Mensajes: 15.347



Ver Perfil
Re: javascript seguridad eval
« Respuesta #1 en: 25 Julio 2016, 01:10 am »

Eval es peligroso en terminos de servidor un Eval en PHP es un hueco casi seguro... pero en jscript, normalmente es menos  peligroso, el codigo de terceros podria ejecutarse por ejemplo en este foro si puedes alcanzar el Eval desde este comentario, si te aseguras de que un usuario por vias normales no lo pueda alcanzar, no hay problemas



En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
matake

Desconectado Desconectado

Mensajes: 23


Ver Perfil
Re: javascript seguridad eval
« Respuesta #2 en: 25 Julio 2016, 02:17 am »

Gracias por responder @engel lex.

Lo del eval en el servidor ya esta decidido NUNCA usarlo.
Intentare, como tu dices, de asegurarme ( hasta que puedo :D ) que en javascript en el cliente  no sea alcanzable.

Saludos y felicidades por vuestro foro ... empiezo a aprender cositas poco a poco.

P.D.

Ja ja ... :D en este foro es como si se encuentran los lobos con las ovejas ... ley antes el tema "javascript bypassear hash de un formulario" de @Kaxperday  ... y justo del tema que expuso el aprendi que tengo que inventarme algun chequeo (limpieza) de todos los listeners asociados a eventos en el cliente para que justamente no me pase lo que el intenta hacer.
« Última modificación: 25 Julio 2016, 02:19 am por matake » En línea

engel lex
Colaborador
***
Desconectado Desconectado

Mensajes: 15.347



Ver Perfil
Re: javascript seguridad eval
« Respuesta #3 en: 25 Julio 2016, 03:07 am »

Por eso el hacking etico roza tan cerca el no etico/ilegal, hay que entender las trampas para evitarlas
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Seguridad en javascript
PHP
Hagoromo 9 2,487 Último mensaje 6 Diciembre 2008, 16:47 pm
por Hagoromo
evitar XSS en eval() « 1 2 »
Nivel Web
nØFi# 11 7,965 Último mensaje 22 Noviembre 2009, 16:25 pm
por sirdarckcat
Fallo de seguridad web, incrustacion javascript malicioso
Seguridad
oriolrg 5 1,610 Último mensaje 30 Julio 2015, 10:39 am
por oriolrg
Un fallo de seguridad en Edge permite la ejecución de código javascript ...
Noticias
wolfbcn 0 440 Último mensaje 17 Abril 2016, 21:40 pm
por wolfbcn
equivalente a eval()? | javascript
Desarrollo Web
Drakaris 3 531 Último mensaje 25 Enero 2021, 00:17 am
por Drakaris
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines