juste une question stupide. Je sais que ce n'est pas possible mais je demande simplement à une confirmation simplement hors de la paranoïa.
Il n'est pas possible de modifier la source d'une page Web et de recharger en quelque sorte que le script édité dans le navigateur, correct?
Sinon, tout le monde pouvait simplement mettre tout ce qu'ils voulaient dans la source de la page et recharger leur source modifiée de faire ce qu'ils ont aimé, ce qui rendrait le World Wide Web vulnérable.
3 Réponses :
Il n'est pas possible de modifier la source d'une page Web et de recharger en quelque sorte Ce script édité dans le navigateur, correct?
Il est possible, il est nécessaire d'infecter le navigateur, ceci a été utilisé pour afficher la publicité forcée dans le passé et n'affecter que l'ordinateur infecté et non l'utilisateur du site Web, mais également le code source indiqué dans le navigateur et non le code que Exécuter dans le serveur de site Web
oui et non.
Oui, vous pouvez modifier le code source d'une page Web directement dans le navigateur à l'aide des outils de développement et les modifications seront visibles, mais seulement pour vous, car les modifications sont apportées aux fichiers téléchargés par votre navigateur.
Non, cette fonctionnalité du navigateur n'est pas un risque de sécurité car les modifications ne sont pas renvoyées au serveur.
Vous pouvez potentiellement insérer des points d'arrêt potentiellement et injecter un script en espérant que cela fonctionne. comme indiqué dans la réponse de cette poste de @sjacob : Édition dans le débogueur Chrome
Cela pourrait probablement être fait à l'aide d'outils côté client, comme une extension de navigateur. Mais cela n'affecterait aucune autre chargeuse de la page Web, évidemment, car ils se connectent au serveur source, pas au cache sauvegardé de l'ordinateur impair.
Eh bien, il est possible de trouver quelques astuces, il existe plusieurs plug-ins pour les grands navigateurs qui permet aux utilisateurs d'injecter et / ou d'éditer les fichiers source. À côté de cela, il existe également un "proxy" qui est généralement utilisé pour déboguer / développer des applications Web pouvant également être utilisées pour modifier en temps réel Source HTML reçue par le serveur.
@ Goran.it: Vous parlez d'outils de développeur / Firebug sorte de plug-ins, ce qui nous permet de modifier la source sur le client mais qui est inoffensif, non? Et des "mandataires" que vous parlez probablement de la violation des mandadeurs et de Wireshark (et de ces ILK). Mais bien sûr, vous ne pouvez pas lancer une attaque man-in-hurle si la communication est sur SSL / TLS / HTTPS, non?
@ Watercoolerv2, il ne serait pas interceptable sur le fil, mais si la machine du client (navigateur) a été compromise, les données et toutes les communications
@CertainePerformance merci. En supposant que le navigateur ne soit pas compromis, un attaquant n'a aucun moyen d'injecter un script (XSS) dans une copie locale de la source d'une page Web et de la publier sur le serveur, non? Même sur une connexion HTTP non cryptée, non? Si le serveur est correctement validé XSS et rejeté tous les balises?
et postez-le sur le serveur, à droite Vous avez déplacé les objectifs de but sur votre question maintenant. Mais la réponse ici dépend si le serveur est sécurisé.@Keith: En supposant que le serveur est sécurisé en ce qu'il implémente une validation appropriée de demande pour rejeter tout HTML dans lequel elle n'est pas autorisée et code HTML où il est autorisé, il n'y a aucun moyen qu'un attaquant puisse poster à la page une version modifiée de la page. Script il téléchargé sur le serveur?