Domande con tag 'javascript'

domande con tag
1
risposta

I problemi di crittografia JavaScript possono essere mitigati?

All'inizio di quest'anno, mi è stato chiesto di valutare l'utilizzo di JavaScript per crittografare le informazioni sensibili nel browser dell'utente prima di inviarlo al nostro server. Mentre la mia prima risposta è stata "chiedi a un esperto",...
posta 22.12.2017 - 16:32
1
risposta

Qual è il valore di un bloccante XHR?

La mia domanda non è specifica per uMatrix, ma è inquadrata da quel PoV: informazioni di base: uMatrix è un'estensione del browser la cui interfaccia principale offre una griglia rettangolare di permessi (allow / inherit / block), con domini...
posta 26.01.2018 - 21:44
2
risposte

Tutti gli errori sono riflessi in XSS?

Oggi sono incappato in un sito vulnerabile all'XSS. Sono stato in grado di ottenere una finestra di avviso da visualizzare tramite una casella di input e alcuni JavaScript. Stavo per segnalarlo al proprietario del sito, ma ho capito che non c'er...
posta 09.08.2017 - 15:39
1
risposta

È possibile eseguire un attacco XSS nel titolo / sottotitolo di una pagina web?

Ho un payload XSS che ha eseguito correttamente javascript quando ho incollato l'URL nel browser e premuto invio. Questo è l'URL: localhost/path/to/file.jsp?aMessage=%3Cscript%3Ealert(%27XSSed%27)%3C/script%3E Dove aMessage viene visua...
posta 06.07.2017 - 18:12
2
risposte

Convalida se l'URL (messaggio) proviene da una fonte attendibile

Stiamo lavorando su una pagina di reindirizzamento per le nostre app mobili. Gli utenti andrebbero a una pagina come: https://mobileredirect.our-app.com?target=https://clientdomain.com/some_resource Le app mobili su iOS e Adroid possono...
posta 04.07.2017 - 10:04
2
risposte

Blocca finestra pop-up utilizzando il codice Javascript

Quando un utente immette le proprie credenziali nel modulo di accesso di un'applicazione Web, le credenziali possono essere violate tramite un'estensione malevola (installata dall'utente). Ora, supponiamo che l'estensione malevola voglia passare...
posta 07.06.2017 - 16:10
2
risposte

Un utente Linux sudo-less di base o un utente sudo ma con una password per sudo offre una sicurezza sufficiente contro gli exploit delle pagine web?

Domanda: mi piacerebbe sapere se è una buona protezione navigare in rete usando un non sudo, account utente di base, sulla mia distribuzione Linux contro exploit di pagine web come script e altri cross-platform per esempio le minacce basate su...
posta 04.05.2017 - 09:34
1
risposta

È possibile valutare le connessioni che Tor Browser effettua quando accediamo a un sito web?

So che l'applicazione javascript di un sito Web può aprire connessioni dirette con il mio computer, al di fuori della rete cipriota, e in questo modo viene rivelato il vero IP dell'utente Tor Browser. Come posso valutare se un determinato sito s...
posta 08.05.2017 - 14:29
2
risposte

È sufficiente confrontare l'input dell'utente non pubblicizzato per essere vulnerabile a XSS?

Dire che ricevo l'input dell'utente da window.location.hash . È sufficiente confrontare questo input non pubblicizzato con i valori consentiti per accedere alle vulnerabilità XSS? Prendi il seguente codice di esempio: jQuery(function ($...
posta 01.03.2017 - 18:28
1
risposta

Rispondi alla mia iniezione html?

Pratico l'iniezione di HTML sul sito web dei miei amici (sa che mi sto esercitando). Quindi ho trovato una vulnerabilità se digito <!----> nella casella di ricerca nome utente o password sito web ignora. e ho praticato alcuni tag nell...
posta 21.02.2017 - 08:45