Да, в некотором роде. Если вы разрешите несанитизированный код на своей веб-странице, будь то шейдеры JS или WebGL или что-то еще, он может и будет выполнять и использовать ваших пользователей.
При этом я никогда не слышал об использовании WebGL в XSS. В некотором смысле, вероятно, потому, что несколько проще (и люди делают это дольше) внедрить небольшой скрипт на страницу, чем запустить и запустить полный шейдер. И что еще более важно, XSS-атаки обычно связаны с кражей информации у пользователей или заставляют их автоматически «выполнять действия», на которые они не санкционированы, и тому подобное. Использование тонны мощности графического процессора не так уж полезно для достижения целей хакера XSS.
Если мы когда-нибудь увидим, что WebGL используется в XSS-атаке, я предполагаю, что это, вероятно, будет схема криптомайнинга, поскольку это одна из немногих вещей, которые выиграют от вычислительной мощности GPU.
Чтобы смягчить это, как и все XSS, дезинфицировать, дезинфицировать, дезинфицировать! Убедитесь, что ни один шаг от клиента к серверу обратно к клиенту не может то, что пользователь вводит в этом поле, выполнять что-либо самостоятельно, Javascript, SQL , WebGL, ничего.
person
Kallmanation
schedule
30.01.2018