Domande con tag 'javascript'

domande con tag
1
risposta

Dove memorizzare IV e sale quando si esegue la crittografia clientide senza server

Sto creando un'app di Chrome che esegue la crittografia lato client dei messaggi degli utenti. Non c'è un server nella mia architettura. I messaggi di testo crittografati vengono salvati come file nel Google Drive dell'utente. Sto usando la libr...
posta 01.01.2016 - 01:31
1
risposta

Comprensione del trucco sul sito di e-commerce

Ho bisogno di aiuto per capire questo trucco e forse posso ricavarne più informazioni. Questo script è stato inserito sul nostro sito Web (magari attraverso una password debole): eval(atob("string")); la stringa significa (usando un deco...
posta 27.11.2015 - 21:47
2
risposte

Come impedisco l'aggiunta di javascript extra nel chiosco HTML nello spazio pubblico?

Sto pianificando un progetto che deve essere conforme PCI, ma sono bloccato su una particolare vulnerabilità e non riesco a pensare a un modo per proteggerlo. Lo scenario è che c'è un chiosco installato in un luogo pubblico su cui è in esecuz...
posta 04.12.2015 - 03:33
1
risposta

Come posso eseguire con successo un attacco xss su un sito Web fittizio? [chiuso]

nel mio corso sulla sicurezza, ci è stato detto di praticare un attacco xss usando firefox su questo sito Web; http://permalink.co/ Non preoccuparti, questo è un sito web appositamente configurato per farci esercitare la sicurez...
posta 10.03.2015 - 17:35
1
risposta

Qual è il vantaggio di passare le carte di credito tramite javascript rispetto al server (senza salvarlo)?

Ho notato che gli attuali gateway delle carte di credito come stripe e wepay incoraggiano l'invio del numero della carta di credito tramite il loro framework js (che userebbe qualche iframe jsonp magic per passare i dati). A mia conoscenza, i...
posta 31.03.2015 - 21:30
1
risposta

Identifica in modo sicuro i clienti tramite l'app Web

Ho un servizio web S che fornisce determinati servizi. Ci sono due app Web, A1 e A2, entrambe su server diversi all'interno della stessa VPN, di cui mi fido e voglio concedere l'accesso al mio servizio web. +------+ HTTPS +-----+ HTT...
posta 12.02.2015 - 08:45
1
risposta

Access-Control-Allow-Origin intestazione spoofing?

È possibile che un utente malintenzionato falsi l'intestazione Access-Control-Allow-Origin? Oppure, è abbastanza sicuro da proteggere l'accesso alla risorsa tramite l'intestazione Access-Control-Allow-Origin? Sto cercando di rendere inutil...
posta 28.11.2013 - 23:00
1
risposta

È possibile utilizzare un filtro servlet Java per estrarre script non inseriti nella whitelist?

Potrei fare una domanda simile a questa: Whitelisting elementi DOM per sconfiggere XSS Ma penso che la mia soluzione proposta sia diversa e mi chiedevo se potevo convincere la comunità a commentare se potesse essere un modo efficace per pre...
posta 25.01.2014 - 01:17
1
risposta

Vulnerabilità Newline XSS

Quindi stavo sperimentando XSS usando un carattere di nuova riga (% 0A). Così sono arrivato al solito vettore: '% 0Aalert (/ xss /) // e una cosa mi è venuta in mente. Cosa succede se non riesci a inserire un preventivo? Una nuova riga interr...
posta 06.03.2013 - 21:51
2
risposte

Come difendersi da UTF7 / 8 non valido che nasconde un tag di script?

Sto eseguendo la scansione del codice HTML prima che raggiunga un browser e ho appena sentito un tipo di exploit che utilizza sequenze UTF7 o UTF8 non valide per incorporare un tag script altrimenti invisibile, che viene utilizzato per eseguir...
posta 27.06.2012 - 19:46