Domande con tag 'clickjacking'

domande con tag
3
risposte

La politica di sicurezza del contenuto contro il clickjacking non riesce con PoC statico

Ho un dubbio sull'uso del Content Security Policy (CSP) come meccanismo di protezione contro il clickjacking. Ho creato una prova di concetto (PoC) online su una pagina Web in cui ho inserito un pulsante che carica l'URL specificato in un cam...
posta 12.12.2016 - 18:24
2
risposte

Vulnerabilità del clickjacking dei download degli allegati di file?

Una parte del nostro sistema espone un gestore di file HTTP che trasmette un file al client a condizione che l'autenticazione e l'ID del file siano corretti, e nessuna risposta in caso contrario. Il server ASP.net su cui è ospitato è istruito...
posta 01.08.2018 - 14:20
1
risposta

Per proteggersi dal clickjacking, è sicuro che una pagina Web mostri il suo contenuto fino a quando non viene rilevato il framing?

Supponiamo di avere una pagina web che non può utilizzare X-Frame-Options e la protezione di Clickjacking deve essere basata su JavaScript. In questa pagina, tutte le azioni sensibili e la visualizzazione delle informazioni sensibili sono b...
posta 23.06.2016 - 16:58
2
risposte

Come può qualcuno fermare il clickjacking?

Stavo guardando una lezione di clickjacking e quando ho provato a creare un iframe per andare al sito web, ho notato che i siti web senza https sono vulnerabili al clickjacking. C'è un altro modo per fermare il clickjacking senza SSL o hai bisog...
posta 21.04.2017 - 17:27
4
risposte

come può dimostrare una vulnerabilità di clickjacking?

In che modo inserire un link a un sito in un iframe (e quando viene aperto in iframe) indica che il sito è vulnerabile a un attacco di click jacking? Ho anche letto che se il sito è una base di forum, la vulnerabilità potrebbe essere critica. Pe...
posta 18.07.2015 - 02:53
3
risposte

Clickjacking su un sito senza account utente

La mia comprensione degli attacchi di clickjacking è che un utente malintenzionato potrebbe incorporare il mio sito nel suo. L'aggressore usa quindi uno stile intelligente per indurre l'utente a compiere azioni sul mio sito, che non intendevano...
posta 09.02.2015 - 16:30
2
risposte

si dovrebbe usare il codice "framekiller" per evitare che altri incorporino le pagine https negli iframe?

Ho trovato varie discussioni su come https fosse incorporato negli iframe per vari motivi. L'ho testato e ho visto che un sito banca sfugge all'iframe e l'altro consente di essere incorporato in un iframe. Google, ad esempio, non viene carica...
posta 20.10.2015 - 11:18
1
risposta

Se il sito non è caricato nel frame, il sito è vulnerabile al click jacking.

È arrivata a questa domanda in SE Come funziona questo test dimostra che la mia applicazione è vulnerabile agli attacchi di clickjacking? Ho una domanda e un dubbio di follow-up, per favore aiutami a chiarirlo. Come da link <html>...
posta 19.11.2015 - 11:09
2
risposte

Come impostare X-FRAME-OPTIONS in cui è necessario caricare il frame di terze parti?

Abbiamo impostato l'opzione X-Frame-Options nell'intestazione come ALLOW-FROM stessa origine ma è necessario aprire la pagina sotto da qualche sito web di terze parti. Vedi un problema di sicurezza qui? HTTP::header replace X-Frame-Options...
posta 25.08.2015 - 16:25
1
risposta

Quando è opportuno fornire una protezione per il clickjacking a una delle mie pagine web?

Gestisco un paio di siti Web, quindi mi chiedo quale sia l'uso appropriato della protezione per il clickjacking come l'intestazione della risposta x-frame-options? Quali pagine sono suscettibili a questo tipo di attacco ai miei utenti?     
posta 15.06.2014 - 00:39