Domande con tag 'ajax'

domande con tag
1
risposta

CSRF su app GWT: ignorando la politica Same-Origin

Al lavoro sospettiamo un'app GWT (che non è ancora in produzione) che possediamo come vulnerabili a CSRF. Dobbiamo esaminarlo dal punto di vista della scatola nera prima di eseguire un controllo di sicurezza di terze parti. Dato che tutte le...
posta 27.03.2015 - 12:03
1
risposta

Struttura dei file durante l'utilizzo del token

Sto utilizzando un token di modulo per proteggere il processo di convalida del mio file php. Fondamentalmente la struttura del file php assomiglia a questo: if ($_POST) {//form has been submitted? if (validateFormToken) { //pro...
posta 27.11.2013 - 19:20
1
risposta

Prevenzione XSS quando si inserisce HTML senza dati controllati dall'utente nel DOM?

Ho qualche codice JavaScript che recupera del codice HTML da uno script PHP e lo inserisce nel DOM: $.get("/includes/blocks.php",{ id:encodeURIComponent(id) }).done(function(Data){ $('<div class="pac">'+Data.html+'</div>').appe...
posta 12.04.2018 - 14:41
1
risposta

jQuery $ .get codice HTML e XSS

codice JS var id = $(this).data("id"); $.get("/api.php",{id:encodeURIComponent(id)}).done(function(data){ $('<div>'+data+'</div>').appendTo('.parent'); }); api.php: echo json_encode('<h1>Hi username!<h1><...
posta 05.04.2018 - 12:03
1
risposta

API HMAC esposta attraverso il sito pubblico?

(Ho anche posto questa domanda su StackOverflow .) Quali misure posso adottare per impedire l'accesso non autorizzato a un metodo su un controller non autenticato? Sfondo Lo schema seguente illustra un microsito che stiamo implementa...
posta 10.08.2017 - 04:59
1
risposta

Conformità PCI: acquisizione della carta di credito, chiamata ajax per salvare l'indirizzo, quindi registrazione del fornitore di pagamento

Dì sulla pagina di pagamento di un sito di e-commerce, se l'utente immette l'indirizzo di consegna, i dettagli di pagamento (dettagli della carta di credito) e fa clic sul pulsante Invia - e se viene effettuata una richiesta di posta elettro...
posta 10.11.2016 - 07:41
1
risposta

Nessuna richiesta di preflight viene effettuata durante la richiesta di cross-origine XHR

Ho creato una richiesta di cross-origine XHR da un file html, ospitato su un semplice HTTP Server python. var xhr = new XMLHttpRequest(); xhr.open("GET", "https://www.facebook.com/favicon.ico", true); xhr.withCredentials = true; xhr.onload = f...
posta 28.02.2017 - 09:28
2
risposte

sfruttando CSRF in richiesta Ajax tramite difetto XSS

In un'applicazione che sto testando, c'è un difetto XSS memorizzato. Ora, stavo testando CSRF e ho costruito una pagina HTML con un javascript che inviava la richiesta Ajax (XHR). Ha causato una richiesta di pre-volo e quindi il browser dice che...
posta 02.06.2016 - 16:08
1
risposta

L'intestazione personalizzata per la protezione CSRF annulla la protezione CSRF

Un test di penetrazione è ordinato su uno dei siti web. Ho implementato OWASP CSRF Guard sul sito web. Usa intestazioni personalizzate per la protezione CSRF per AJAX. Questo è stato contrassegnato con un messaggio soggetto. Nessuna spiegazione...
posta 19.08.2015 - 18:02
1
risposta

Access-Control-Allow-Origin possibili minacce sul file JS statico

Poiché sto lavorando a una ricerca, ho bisogno di consentire agli utenti di leggere il mio file JavaScript usando Ajax. Tuttavia, voglio essere sicuro delle conseguenze dell'aggiunta dell'intestazione Access-Control-Allow-Origin per questo solo...
posta 18.05.2014 - 12:21