0
我使用各種第三方庫,如cordova.js,jquery,jquery mobile,mobilizer等等,在一個android移動應用程序中。這些庫被發現有不同的XSS矢量,通過不安全的使用eval,settimeout,inner/outerhtml等。但是,具有這些問題的模塊在應用程序中不被使用/調用。可以使用第三方js庫中存在的XSS漏洞攻擊使用該lib的應用程序嗎?
考慮到上述情況,即使在我的應用程序中沒有使用易受攻擊的模塊,考慮到上述情況,攻擊者是否可以通過第三方庫中的XSS向量來利用我的應用程序?
這個問題是參考我以前的question:'如何確保app對抗第三方js庫中的XSS載體?'
我不同意「如果代碼存在,攻擊者可以使用它」是一個問題。如果攻擊者可以在頁面上執行JavaScript,則無論其代碼是否存在,它們都可以執行任何他們想要的操作。 – JJJ 2013-03-12 07:26:40
嗯,我的觀點是,如果你知道你的應用中有一些「危險的」代碼,並且根本不需要它,那麼保留它就沒有(技術上的)理由。 – orique 2013-03-12 07:29:23