Domande con tag 'javascript'

domande con tag
1
risposta

posizionamento del token csrf

So che ci sono più posti dove mettere un token csrf e il più comune è inserire un campo di input nascosto in un modulo. Il secondo è in un cookie con la bandiera httpOnly. Quello che voglio sapere è che c'è un'opposizione a metterlo in una varia...
posta 01.08.2018 - 09:38
1
risposta

US Department of Labor Watering Hole Attack

Quindi ho letto questo articolo su come il sito Web del Dipartimento del Lavoro degli Stati Uniti è stato compromesso e gli utenti sono stati reindirizzati a un sito che ha installato malware: link Ora ho due domande: Come potrebbe...
posta 02.05.2013 - 17:00
2
risposte

Identifica il codice in esecuzione sul sito web

Normalmente non mi occupo di problemi di sicurezza in Internet, ma questo mi ha interessato. Il problema riguarda un sito specifico, diciamo example.com e il modo in cui lo ha visitato. Se l'indirizzo è digitato direttamente nel browser, i...
posta 22.05.2013 - 00:55
2
risposte

Perché è importante non usare mai "eval" insieme a AJAX?

Da OWASP Cheat Sheet AJAX Security : Eval is evil, never use it. Needing to use eval usually indicates a problem in your design. Comprendo che eval di codice JS non attendibile può portare a un intero mondo di dolore, tuttavia non...
posta 03.12.2018 - 20:31
2
risposte

Utilizzo di una tabula nel browser per generare password

Ho lavorato a un'idea per un gestore di password senza stato, ispirato a questo post sul blog . Utilizzo un generatore di numeri pseudo-casuali nel browser ( seedrandom.js ) inizializzato con la password principale di un utente per creare un un...
posta 25.01.2018 - 02:42
2
risposte

Invio di credenziali per ogni richiesta

Ho intenzione di utilizzare un bundle Symfony SMB come questo per esplorare un file system Windows tramite PHP. Per fare ciò, creerò un'API Web che restituirà un elenco di file e directory in una directory in modo da poter esplorare i contenu...
posta 22.01.2018 - 21:08
1
risposta

jquery.js Valutazione del codice dinamico: Code Injection sulla linea setTimeout ()

Sto lavorando per risolvere un potenziale problema di sicurezza. Ho eseguito il mio HP fortifica SCA e ho ottenuto un rapporto priorità critico sul mio file jquery.js. Category : Dynamic Code Evaluation: Code Injection (3 Issues). Ho esa...
posta 20.02.2017 - 17:43
2
risposte

JSON attraverso lo script src =, come si ottiene l'oggetto JS nella pagina canaglia?

Stavo spiegando l'attacco a un API JSON REST l'altro giorno (nella vita reale, al lavoro, non qui), e ho capito che non capisco parte del vettore di attacco. Scusa se questa è una domanda di base, non sono eccezionale con JavaScript. Un mo...
posta 03.09.2016 - 02:50
3
risposte

Come fare una vittima inviare un post tramite XSS?

In DVWA sto cercando di capire diversi metodi di attacco rispetto al solito scenario alert('XSS'); . Utilizzo XSS riflettente per fornire un carico utile che consente all'utente che segue l'URL di inviare un post nella sezione XSS memoriz...
posta 02.09.2016 - 13:56
1
risposta

Come ottenere il contenuto JS dalla vulnerabilità XSS?

Sto imparando sugli attacchi XSSI e mi chiedo se è possibile utilizzare il seguente JS dinamico per accedere al contenuto. Dinamic.js: if (window.location.hostname === 'Demo.site.com' ){ updateLoginHeader('Nick', 'IWANT-THIS-SECRET'); }...
posta 29.05.2017 - 09:48