Domande con tag 'ajax'

domande con tag
1
risposta

E 'qui che entra in gioco un nonce?

Sto rivedendo un sito web sviluppato da un amico e cercavo errori e preoccupazioni generali. Durante la revisione ho notato che è molto pesante nelle chiamate ajax che utilizzano JSON per un'API RESTful che mantiene su un server diverso. Ment...
posta 10.03.2014 - 20:29
2
risposte

L'aggiunta di dati da un modulo a un URL con encodeURIComponent disinfetta in modo sicuro l'input dell'utente?

Nella mia app Web, desidero inviare una richiesta AJAX interdominio a un altro sito. Voglio prendere il testo che l'utente inserisce in un modulo e aggiungere quel testo alla stringa di query nell'URL a cui invio la richiesta, quindi esco dal te...
posta 06.01.2017 - 22:50
2
risposte

È vulnerabile a un attacco di reindirizzamento URL non sicuro

Ho un sito Web ASP.NET MVC che sta utilizzando Identity per l'autenticazione. Funziona in IIS 8.5 come HTTP ma ha SSL terminato in Load Balancer ed è HTTPS per tutto ciò che esiste tra il browser e Load Balancer. Ecco i dettagli del certifica...
posta 01.12.2015 - 18:46
1
risposta

Invia modulo con token

Ho un token che voglio usare per prevenire l'accesso diretto ad alcuni file php. Alcuni di questi file php vengono caricati tramite AJAX. Il token viene utilizzato con una sessione per proteggere l'invio dei moduli E per impedire l'accesso...
posta 26.11.2013 - 22:29
1
risposta

XSS riflesso tramite JSON eseguito con Burp, ma come farlo in condizioni realistiche?

Sto testando uno scenario con il proxy Burp. Mi trovo su un sito web https://website.com/web C'è un'opzione per eliminare un elemento, quando fai clic su di esso, viene inviata una certa richiesta POST ( XMLHttpRequest , non av...
posta 01.02.2017 - 00:39
1
risposta

XSS dalle uscite JSON

Nel libro "XSS Attacks - Exploits and Defense" scrive Jeremiah Grossman: The exploit found in Google’s reader was due to the developers thinking that JSON was only going to be viewed by the calling script.The developers never realized that...
posta 30.01.2017 - 19:25
1
risposta

Script cross-site nel metodo HTTP?

Ultimamente, ho notato che molte configurazioni del server Web riflettono il metodo di una richiesta HTTP inviata con un metodo non implementato nel corpo della risposta del server. Ad esempio, una richiesta inviata con il metodo GETTT riceve...
posta 30.12.2013 - 08:27
0
risposte

Applicazione Web che effettua una chiamata a un'API REST quando è già autenticata

Sono nuovo di ASP.NET Core e OpenID connect / AzureAD, quindi cerco qualche convalida (o meno) del mio approccio. Una lettura approfondita / googling durante le ultime due settimane mentre stavo imparando questo non ha trovato una risposta esatt...
posta 14.06.2018 - 23:49
1
risposta

Hydra da Kali Linux + Tamper http post sintassi del tentativo di accesso fallito [duplicato]

Ho fatto questa domanda nel forum generale Penso che sia più appropriato collocarlo qui. link Ecco la descrizione completa: Sto facendo un pentesimo di un sito interno, vorrei verificare quanto è sicuro quando si usa Hydra da (Kali)...
posta 23.12.2014 - 15:39
0
risposte

Richieste di applicazioni Web sospette contenenti la funzione JavaScript codificata (?)

Ho visto un po 'di traffico strano nei log per un'applicazione web (Apache) di cui mi sto chiedendo, e spero che qualcuno qui lo abbia già visto prima. Le richieste non elaborate erano variazioni di: http://[site]/Ajax/Basket/Add/e7199c8c-9...
posta 04.06.2015 - 18:09