Domande con tag 'javascript'

domande con tag
2
risposte

Revisionare l'e-mail di phishing e il suo carico utile ... ho fatto bene?

Recentemente la mia azienda ha ricevuto un'e-mail di phishing diffusa, fortunatamente nessuno ha fatto clic sul collegamento (che è fantastico!) Dato che sono uno studente e uno stagista attuale che lavora in IT Security, volevo vedere cosa c...
posta 22.05.2016 - 00:31
1
risposta

Rilevamento dei plugin Chrome disattivati utilizzando JavaScript

Il mio cavo era in voga questo fine settimana e ho dovuto visitare un amico per guardare la HBO online. È successo qualcosa di strano che mi ha infastidito. Ho disattivato il plug-in Flash su Chrome, poiché tutti i siti Web che utilizzo suppo...
posta 22.06.2016 - 05:48
1
risposta

Come dovrei mitigare le vulnerabilità XSS in KnockoutJS descritte alla sicurezza dei baffi?

Il sito Moustache-Security descrive le vulnerabilità XSS in KnockoutJS ... Le vulnerabilità derivano da l'uso di eval (o qualche equivalente) per convertire il testo nell'attributo data-bind in script eseguibile. La maggior parte degli esempi...
posta 17.06.2014 - 17:34
1
risposta

XSS basato su DOM all'interno dell'attributo src

Ho il seguente codice JavaScript: var url= document.location.href; document.write("<img src='?bla="+document.location.href+"'>"); Sono in grado di iniettare il codice quando aggiungo ad es. ?b=a'onX=alert(1);' all'URL, ma funzio...
posta 22.11.2016 - 02:33
2
risposte

Che cosa usare come 'stato' nel flusso di lavoro del codice di autorizzazione OAuth2 Grant

Uso la protezione csrf nella mia app Web. Ora sto pianificando l'attivazione di un flusso di lavoro di concessione del codice di autorizzazione OAuth2, a partire da un modello statico aperto in una nuova finestra del browser utilizzando win...
posta 30.10.2015 - 16:40
4
risposte

È possibile creare un xss con solo tag html

Non sono a conoscenza di tutti i trucchi xss .. Durante la programmazione in Ruby on Rails, utilizzando un metodo di disinfezione per consentire solo determinati tag e rende è meglio cancellare tutti gli altri tag e script i tag rimanent...
posta 03.12.2012 - 17:10
5
risposte

Evita l'aggiornamento non autorizzato della classifica online php / sql [duplicato]

Sto sviluppando un'applicazione web offline (gioco) per Android che utilizza cordova (PhoneGap). La classifica della stessa viene mantenuta online nel mio server. Attualmente questo è il modo in cui la classifica è aggiornata Passaggio 1...
posta 31.12.2015 - 19:09
1
risposta

I frammenti di JS sul mio progetto live non compaiono nel mio codice che risiede sul mio server di produzione

Ho un progetto di sito web Django che è in diretta (chiamiamolo esempio.com). È un forum in cui gli utenti possono inviare commenti e rispondere a loro. Ha un database Postgresql e un proxy inverso gunicorn + nginx come server web configurato. S...
posta 16.02.2016 - 15:45
2
risposte

JavaScript eval () per analizzare JSON dopo aver disinfettato le espressioni regolari - XSS è possibile?

È possibile ignorare la mia regex ed eseguire JavaScript? <script> function json(a){ if (/^\s*$/.test(a) ? 0 : /^[\],:{}\s\u2028\u2029]*$/.test(a.replace(/\["\\/bfnrtu]/g, "@").replace(/"[^"\\n\r\u2028\u2029\x00-\x08\x0a-\x1f]...
posta 06.02.2013 - 07:41
2
risposte

Qual è il limite della dimensione dei dati che i criptodi a chiave pubblica possono gestire?

Qualcuno ha menzionato qui che la crittografia asimmetrica potrebbe non essere appropriata per i dati collettivi e ha fornito un esempio di RSA con 100 byte. Certo, capisco che è stato un esempio approssimativo. Ma mi ha fatto incuriosire: qua...
posta 31.10.2013 - 01:29