Стоит ли проверять внешний код JavaScript на наличие уязвимостей?

Я недавно присоединился к миру безопасности программного обеспечения, и одна вещь меня беспокоит.

Есть ли смысл сканировать внешний код JavaScript на предмет уязвимостей с помощью инструмента SAST? Мой вопрос здесь - это только код, который мы пишем, а не зависимости OSS, которые являются совершенно другой темой, поэтому забудьте о теневых зависимостях, которые крадут ваши сеансовые файлы cookie.

Я хочу сказать, что даже самый безопасный код может быть легко изменен с помощью клиента, если клиент хочет перевернуть ваш интерфейс вверх ногами, они могут это сделать. И все доступно из front-end, у самого клиента уже есть доступ к нему, "дополнительной мощности" нет или есть?

Есть ли унаследованная уязвимость, которую можно выявить / уменьшить с помощью внешнего кода JavaScript?

Если мы научим ребенка программировать на JS, а затем попросим его написать код за нас, что может пойти не так (с точки зрения безопасности)?

Я мог думать о следующих вещах:

  • жестко закодированная конфиденциальная информация / секреты
  • напишите какое-нибудь сумасшедшее регулярное выражение, которое может занять вечность, чтобы что-то оценить и заставить заморозить веб-страницу для клиента в зависимости от ввода (но мне кажется, что это скорее ошибка, чем уязвимость. Другое дело, когда это происходит на стороне сервера, где это оставьте ваше приложение без ответа для всех клиентов)
  • ???? это все, что у меня есть.

Если мы говорим об «уязвимостях», я не могу придумать ни одной (кроме секретного ключа в коде, конечно), которая не связана с серверной частью.

hackape 31.03.2021 20:41

Если не из-за уязвимости, а из-за безопасности во время выполнения, то черт возьми. ESLint в TypeScript или даже какой-то язык, скомпилированный в js, все они изо всех сил стараются предотвратить ошибку времени выполнения с помощью статического анализа.

hackape 31.03.2021 20:47
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer
Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer
В настоящее время производительность загрузки веб-сайта имеет решающее значение не только для удобства пользователей, но и для ранжирования в...
Безумие обратных вызовов в javascript [JS]
Безумие обратных вызовов в javascript [JS]
Здравствуйте! Юный падаван 🚀. Присоединяйся ко мне, чтобы разобраться в одной из самых запутанных концепций, когда вы начинаете изучать мир...
Система управления парковками с использованием HTML, CSS и JavaScript
Система управления парковками с использованием HTML, CSS и JavaScript
Веб-сайт по управлению парковками был создан с использованием HTML, CSS и JavaScript. Это простой сайт, ничего вычурного. Основная цель -...
JavaScript Вопросы с множественным выбором и ответы
JavaScript Вопросы с множественным выбором и ответы
Если вы ищете платформу, которая предоставляет вам бесплатный тест JavaScript MCQ (Multiple Choice Questions With Answers) для оценки ваших знаний,...
0
2
16
0

Другие вопросы по теме