Domande con tag 'crossdomain'

6
risposte

L'inserimento di valori di querystring direttamente in HTML comporta un rischio per la sicurezza?

Qualcuno ha segnalato un bug sul mio sito che non considero davvero un problema. Il mio sito ha un URL simile a questo: www.site.com/ajax/ads.asp?callback=[text injection] Quindi filetype è application / json, e non vedo come ciò possa infl...
posta 14.12.2014 - 22:06
3
risposte

In che modo CORS previene l'XSS?

Recentemente ho saputo di CORS e ho ottenuto impressione che il suo scopo è quello di prevenire l'XSS . Con CORS, il browser blocca le richieste a diversi domini, a meno che non siano presenti specifiche intestazioni . Ma se una persona m...
posta 23.12.2015 - 14:24
4
risposte

Il CORS aiuta in ogni caso contro la falsificazione di siti incrociati?

Ho letto negli ultimi due giorni su CORS e in molti posti è menzionato in quanto è una funzione di "Sicurezza" per aiutare il mondo dalla contraffazione interdominio. Non vedo ancora il beneficio e il ragionamento per CORS. Ok, i browser fara...
posta 26.08.2015 - 13:30
1
risposta

Un sito web può fare una richiesta HTTP a "localhost"? Come si aggira la politica dei domini incrociati?

Ho trovato questo sito web che parla di come correggere una vulnerabilità di Redis sfruttando la stessa vulnerabilità. Il sito web in questione ha un pulsante "patch me" e se hai un server Redis senza password in esecuzione sul tuo computer...
posta 19.06.2015 - 15:27
1
risposta

Sicurezza su window.opener e iframe

Ho 3 domini: domainA domainB domainC Se imposto target="_blank" su domainA con un link a domainC , domainC può accedere a un gruppo di proprietà di domainA . Ecco perché uso target="_blank" rel="noopener noreferr...
posta 03.12.2016 - 13:20
2
risposte

In che modo la vulnerabilità originale di Facebook di Access-Control-Allow-Origin: null consente l'accesso tra origini?

Recentemente, una vulnerabilità nell'app di messaggistica di Facebook che consentiva agli attacchi di accedere a messaggi privati degli utenti tramite AJAX di origine incrociata è stata corretta e divulgata. Simple Bug allows Hackers to Rea...
posta 14.12.2016 - 21:33
3
risposte

Lo script include il dominio incrociato esterno

Recentemente una delle mie applicazioni web è stata sottoposta a una valutazione della vulnerabilità e uno dei risultati riguarda lo script di inclusione tra domini. La nostra app Web utilizza addthis_widget.js da AddThis per aggiungere ai seg...
posta 16.02.2015 - 12:05
2
risposte

Sicurezza di iframe tra domini

Quanto è sfruttabile un sito che ascolta i messaggi del browser da chiunque? Sto lavorando su un sito in cui ho trovato alcuni problemi di iframe. Il caso è che il sito A ha un iframe del sito B, e il sito A ascolta i "messaggi" di ovunque...
posta 14.07.2016 - 15:32
1
risposta

Vulnerabilità di Crossdomain.xml

<cross-domain-policy> <allow-access-from domain="*" secure="false"/> <site-control permitted-cross-domain-policies="master-only"/> </cross-domain-policy> Vorrei porre due domande: È vulnerabile questo file crossd...
posta 19.08.2015 - 22:43
2
risposte

La seguente soluzione di autenticazione è sicura o mi manca qualcosa?

Contesto: Ho due server Web ServerA (stack LAMP) e ServerB (stack ASP.NET). Penso che la tecnologia (si spera) non abbia importanza. Entrambi i server richiedono l'autenticazione e presumibilmente fanno bene il loro lavoro, se non è fuori a...
posta 22.03.2016 - 14:16