निश्चित रूप से!
हमलावर XSS जैसे कई हमले करने के लिए दुर्भावनापूर्ण स्क्रिप्ट का उपयोग कर सकते हैं:
क्रॉस-साइट स्क्रिप्टिंग (XSS) कंप्यूटर सुरक्षा भेद्यता का एक प्रकार है जो आमतौर पर वेब अनुप्रयोगों में पाया जाता है जो दुर्भावनापूर्ण हमलावरों को क्लाइंट-साइड स्क्रिप्ट को अन्य उपयोगकर्ताओं द्वारा देखे गए वेब पेजों में इंजेक्ट करने में सक्षम बनाता है ...
में और अधिक पढ़ें विकिपीडिया ।
कोई स्क्रिप्ट आपको किसी वेब पेज (या वेबसाइट) पर मौजूद सभी लिपियों को नियंत्रित करने की शक्ति नहीं देती है और प्लगइन्स जैसे कि फ्लैश, जावा आदि का उपयोग करती है। आप एक श्वेतसूची में विश्वसनीय साइटें जोड़ते हैं और दूसरी को स्क्रिप्ट चलाने की अनुमति नहीं है, जब तक आप उन्हें (अस्थायी या स्थायी रूप से) रहने नहीं देते।
एक सवाल और यह बिना स्क्रिप्ट वेबसाइट पर जवाब है ( faq ) कुछ स्पष्टीकरण प्रदान कर सकता है:
मुझे केवल विश्वसनीय साइटों के लिए जावास्क्रिप्ट, जावा, फ्लैश और प्लगइन निष्पादन की अनुमति क्यों देनी चाहिए?
जावास्क्रिप्ट, जावा और फ्लैश, यहां तक कि बहुत अलग प्रौद्योगिकियां होने के बावजूद, सामान्य रूप से एक चीज होती है: वे आपके कंप्यूटर कोड पर एक दूरस्थ साइट से आने पर निष्पादित करते हैं। सभी तीनों किसी प्रकार के सैंडबॉक्स मॉडल को लागू करते हैं, गतिविधियों को सीमित करते हुए रिमोट कोड प्रदर्शन कर सकते हैं: उदाहरण के लिए, सैंडबॉक्स कोड आपके स्थानीय हार्ड डिस्क को पढ़ना / लिखना नहीं चाहिए और न ही अंतर्निहित ऑपरेटिंग सिस्टम या बाहरी अनुप्रयोगों के साथ बातचीत करना चाहिए। भले ही सैंडबॉक्स बुलेट प्रूफ थे (मामला नहीं, नीचे पढ़ें) और भले ही आप या आपका ऑपरेटिंग सिस्टम एक और सैंडबॉक्स (जैसे IE7 + विस्टा या सैंडबॉक्सी) के साथ पूरे ब्राउज़र को लपेटता है, ब्राउज़र के अंदर सैंडबॉक्स कोड चलाने की एकमात्र क्षमता हो सकती है दुर्भावनापूर्ण उद्देश्यों के लिए शोषण किया जा सकता है, उदाहरण के लिए आपके द्वारा संग्रहीत महत्वपूर्ण जानकारी चुराने या वेब पर दर्ज करने के लिए (क्रेडिट कार्ड नंबर, ईमेल क्रेडेंशियल्स और इतने पर) या आपको "प्रतिरूपित" करने के लिए, जैसे। फर्जी वित्तीय लेनदेन में, क्रॉस साइट स्क्रिप्टिंग (XSS) या CSRF जैसे "क्लाउड" हमलों को लॉन्च करने के साथ, अपने ब्राउज़र से बचने या सामान्य वेब पेज से अधिक विशेषाधिकार प्राप्त करने की कोई आवश्यकता नहीं है। यह केवल विश्वसनीय साइटों पर स्क्रिप्टिंग की अनुमति देने के लिए पर्याप्त कारण है। इसके अलावा, कई सुरक्षा कारनामों का उद्देश्य "विशेषाधिकार वृद्धि" प्राप्त करना है, अर्थात अधिक से अधिक विशेषाधिकार प्राप्त करने के लिए सैंडबॉक्स की कार्यान्वयन त्रुटि का फायदा उठाते हुए ट्रोजन, रूटकिट्स और कीगलर्स स्थापित करने जैसे खराब कार्य करना। इस तरह के हमले से जावास्क्रिप्ट, जावा, फ्लैश और अन्य प्लगइन्स को भी निशाना बनाया जा सकता है: यह केवल विश्वसनीय साइटों पर स्क्रिप्टिंग की अनुमति देने के लिए पर्याप्त कारण है। इसके अलावा, कई सुरक्षा कारनामों का उद्देश्य "विशेषाधिकार वृद्धि" प्राप्त करना है, अर्थात अधिक से अधिक विशेषाधिकार प्राप्त करने के लिए सैंडबॉक्स की कार्यान्वयन त्रुटि का फायदा उठाते हुए ट्रोजन, रूटकिट्स और कीगलर्स स्थापित करने जैसे खराब कार्य करना। इस तरह के हमले से जावास्क्रिप्ट, जावा, फ्लैश और अन्य प्लगइन्स को भी निशाना बनाया जा सकता है: यह केवल विश्वसनीय साइटों पर स्क्रिप्टिंग की अनुमति देने के लिए पर्याप्त कारण है। इसके अलावा, कई सुरक्षा कारनामों का उद्देश्य "विशेषाधिकार वृद्धि" प्राप्त करना है, अर्थात अधिक से अधिक विशेषाधिकार प्राप्त करने के लिए सैंडबॉक्स की कार्यान्वयन त्रुटि का फायदा उठाते हुए ट्रोजन, रूटकिट्स और कीगलर्स स्थापित करने जैसे खराब कार्य करना। इस तरह के हमले से जावास्क्रिप्ट, जावा, फ्लैश और अन्य प्लगइन्स को भी निशाना बनाया जा सकता है:
बुरे लोगों के लिए जावास्क्रिप्ट एक बहुत ही कीमती उपकरण की तरह दिखता है: यदि जावास्क्रिप्ट को निष्क्रिय कर दिया गया था, तो आज तक खोजे गए अधिकांश निश्चित ब्राउज़र-शोषक कमजोरियां अप्रभावी थीं। शायद इसका कारण यह है कि लिपियों को परखना और खोजना आसान है, भले ही आप नौसिखिया हैकर हों: हर कोई और उसका भाई एक जावास्क्रिप्ट प्रोग्रामर मानते हैं: पी
जावा का एक बेहतर इतिहास है, कम से कम अपने "मानक" अवतार में, सूर्य जेवीएम। यह वायरस है, इसके बजाय, बाइट वीफायर.ट्रोजन की तरह माइक्रोसॉफ्ट जेवीएम के लिए लिखा गया है। वैसे भी, जावा सुरक्षा मॉडल पर हस्ताक्षर किए गए एप्लेट्स (एप्लेट्स जिनकी अखंडता और मूल की गारंटी डिजिटल प्रमाणपत्र द्वारा दी जाती है) को स्थानीय विशेषाधिकारों के साथ चलाने की अनुमति देता है, जैसे कि वे नियमित रूप से स्थापित अनुप्रयोग थे। यह, इस तथ्य के साथ संयुक्त उपयोगकर्ता हमेशा होते हैं, जो चेतावनी के सामने "इस एप्लेट को एक बुरे / नकली प्रमाण पत्र के साथ हस्ताक्षरित करते हैं। आप इसे निष्पादित नहीं करना चाहते हैं! क्या आप इसके बजाय इसे निष्पादित करने के लिए पागल हैं?" कभी नहीं!] [नहीं] [नहीं] [हो सकता है] "," हां "बटन को खोज, खोज और मार देगा, जिससे फ़ायरफ़ॉक्स को भी कुछ ख़राब प्रतिष्ठा मिली (ध्यान दें कि लेख काफी लचर है, लेकिन जैसा कि आप कल्पना कर सकते हैं कि बहुत गूंज थी )।
फ्लैश को अपेक्षाकृत सुरक्षित माना जाता था, लेकिन जब से इसका उपयोग इतना व्यापक हो गया है तो उच्च सुरक्षा दर पर गंभीर सुरक्षा खामियां पाई गई हैं। फ़्लैश एप्लेट्स का उपयोग उन साइटों के खिलाफ XSS हमलों को शुरू करने के लिए भी किया गया है जहां वे होस्ट हैं।>
अन्य प्लगइन्स का शोषण करना कठिन है, क्योंकि उनमें से अधिकांश जावा और फ्लैश जैसी आभासी मशीन की मेजबानी नहीं करते हैं, लेकिन वे अभी भी बफर ओवररन जैसे छेदों को उजागर कर सकते हैं जो विशेष रूप से तैयार की गई सामग्री के साथ खिलाए जाने पर मनमाना कोड निष्पादित कर सकते हैं। हाल ही में हमने इनमें से कई प्लगइन कमजोरियों को देखा है, जो एक्रोबेट रीडर, क्विकटाइम, रियलपेयर और अन्य मल्टीमीडिया हेल्पर्स को प्रभावित करते हैं।
कृपया ध्यान दें कि उपर्युक्त तकनीकों में से कोई भी आमतौर पर (95% समय) सार्वजनिक रूप से ज्ञात और अभी भी अप्रकाशित शोषणकारी समस्याओं से प्रभावित है, लेकिन NoScript की बात बस यही है: अज्ञात अज्ञात सुरक्षा छेदों के शोषण को रोकना, क्योंकि जब उन्हें खोजा जाता है यह बहुत देर हो सकती है;) सबसे प्रभावी तरीका अविश्वसनीय साइटों पर संभावित खतरे को अक्षम कर रहा है।