Domande con tag 'javascript'

domande con tag
1
risposta

Metodo di autenticazione semplice per proteggere l'API REST

Ho cercato disperatamente di trovare un metodo semplice per proteggere la mia API, ma non ne ho ancora trovato uno che funzioni. A differenza di molte API RESTful, la mia API non ha bisogno di accessi utente, token che scadono o altri metodi di...
posta 17.07.2016 - 01:46
1
risposta

Variabile assegnata all'oggetto Injection Sink (security / detect-object-injection)

Sto testando il mio codice su ESLint. Dice: Variable Assigned to Object Injection Sink (security/detect-object-injection). Non sto usando una risorsa esterna per assegnarla alla mia variabile, però. C'è davvero un problema nella riga...
posta 04.10.2017 - 19:51
2
risposte

È sicuro condividere un token di accesso tramite API di messaggistica HTML5 tra vari iframe?

Possiedo un sito Web principale che incorpora altri 3 siti Web tramite iframe (sistemi legacy che offrono varie funzionalità con un'interfaccia utente). Attualmente l'utente deve autenticarsi con ciascuno dei sistemi nonostante stiano tutti util...
posta 10.10.2016 - 00:16
1
risposta

Sicuro per il rendering dei dati direttamente su DOM da localStorage? Attacco XSS possibile?

Ho letto che la cronologia locale è suscettibile agli attacchi XSS. Attualmente memorizzo JSON Web Token (JWT) in localstorage e accedo e visualizzo dati sull'utente tramite localstorage: var localstore = // localStorage object // On user...
posta 11.05.2015 - 00:04
4
risposte

Sfruttare XSS in jQuery senza caratteri uguali?

Questo è un codice JavaScript vulnerabile: $(document).ready(function(){ var payload = unescape(document.location.hash.substr(1)); $(payload); document.body.innerText = "The payload is: " + payload; }); Quando ho provato a sfrut...
posta 08.04.2018 - 20:10
1
risposta

Sblocca codici per un'app mobile

Questo è per un progetto di gioco Android (via Cordova / PhoneGap). Il mio obiettivo è essere in grado di fornire un "codice promozionale" che permetterà a chiunque di sbloccare il gioco gratuitamente, ma voglio limitare ogni codice a funzionare...
posta 16.10.2014 - 21:56
1
risposta

Questa chiamata jQuery ajax è vulnerabile a XSS?

Se qualcuno può modificare $("#field").val() , può modificare qui la proprietà url per indicare un'altra posizione? $.ajax({ url: "http://mywebsite/script?param=" + $("#field").val(), dataType: "jsonp", success: function(response) {...
posta 19.01.2012 - 13:58
2
risposte

DOM XSS attacco fallito in Firefox

Sto tentando di eseguire un attacco DOM XSS per sfruttare una vulnerabilità della pagina Web localhost. Sono in grado di eseguire l'attacco con successo su IE-11 e Chrome. Ma Firefox mi sta impedendo di eseguire l'attacco codificando lo script c...
posta 07.03.2014 - 04:05
3
risposte

Gli attacchi CSRF sono davvero ciechi

Sono nuovo agli attacchi CSRF ma non vedo come sono sempre ciechi. Diciamo che abbiamo a che fare con un sito in cui la risorsa che dobbiamo proteggere è la risposta HTTP. Qualcosa come la storia medica di una persona. In base a quanto ho let...
posta 14.05.2013 - 22:54
2
risposte

L'implementazione JavaScript di AES è meno sicura rispetto ad altre implementazioni linguistiche?

Sono disponibili alcune implementazioni JavaScript AES come Gibberish-aes Quindi, supponendo che l'algoritmo AES sia stato implementato correttamente in questa libreria, dovrebbe essere sicuro come qualsiasi altra implementazione linguistic...
posta 08.10.2011 - 18:08