Carregando páginas da Web nocivas pelo PhantomJS

0

Eu planejei executar o PhantomJS como um serviço de captura de página da Web. Estou preocupado com a segurança. E se um usuário solicitar uma captura de tela de página da Web prejudicial (malware ou algo parecido)? Isso pode prejudicar o servidor?

    
por Ehsaan 29.11.2016 / 14:32

1 resposta

-1

As duas principais ameaças seriam:

  1. Exploração de uma vulnerabilidade do Webkit ou de um plug-in carregado pelo Webkit / PhantomJS. Isso pode permitir a execução de código arbitrário no seu servidor.
  2. Acesso local ao seu servidor. É muito provável que você permita o acesso a alguns serviços internos apenas ao host local (servidor de redis, servidor de banco de dados, administração de banco de dados, ferramenta etc.). Agora seu cliente da Web também pode acessar o host local. Isso se estende a qualquer IP local.

Existem alguns outros "aborrecimentos" com os quais você precisará se preocupar, além de questões de segurança:

  • download de arquivos grandes que podem preencher seu HD
  • DoS na página que podem não ser uma ameaça para o site, mas serão suficientes para colocar você na lista negra
  • Acione as respostas de segurança "falsificando" algum tipo de ataque (XSS, SQLI, etc.) em algum site confidencial (.gov, .mil)
  • acessando conteúdo proibido (baixar arquivo torrent, pornografia infantil, etc.)
por 29.11.2016 / 20:00

Tags