Когда ставишь лайфчат на сайт то ставишь код наподобие такого <script src="//code.asd.com/widget/asd.js" async></script> Предположим владелец файла asd.js захочет взломать твой сайт, сервер, что бы получить доступ к базе/файлам может ли он код в asd.js поменять на вредоносный тем самым получить доступ к сайту? или через js это невозможно?
Зависит от приложения, но в принципе возможно. Например, если аппликация не использует одноразовые токен (CSRF) то тот же JS может с куками пользователя допустим создать нового админа сайта (для этого конечно нужно знать структуру запроса).
Одномоментно, так, как если бы вы разместили сторонний код в исполняемых файлах на сервере - нет. Но вполне осуществим вектор атаки применяемый в случае XSS, т.е. на клиента, например браузер. Когда атакующий заменит или добавит нужное содержимое в файл asd.js и вы войдете в административную часть сайта, он сможет наравне с вами использовать привилегированный доступ текущей сессии. Тем самым, продолжить атаку уже на сервер и впоследствии получить доступы к базе и файлам.
