Domande con tag 'javascript'

domande con tag
2
risposte

Esiste la possibilità di iniettare XSS nella funzione jQuery attr?

Mi chiedevo se questa funzione fosse vulnerabile a XSS. var url = "google.com"; if (url.indexOf("http") != 0) { url = "http://" + url; } $("<a/>").attr("href", url); L''url' è l'input dell'utente, e <a/> verrebbe ins...
posta 23.05.2017 - 10:04
1
risposta

passaggio dell'input dell'utente alla riga di comando

Sto usando crack lib per controllare la forza della password per la mia applicazione web. Tuttavia, sono preoccupato che la mia attuale implementazione sia sicura o meno. L'utente inserisce una password, che viene quindi eseguita attraverso i...
posta 27.10.2016 - 01:31
1
risposta

Qual è il modo migliore per eseguire il pentest di un'applicazione Web AngularJS con un backend REST?

Le webapp tradizionali sono spesso ripetute da scanner di vulnerabilità come Burp Suite, OWASP ZAP o con gli altri strumenti di gazillion inclusi in Kali. Ma qual è il modo migliore per eseguire automaticamente il pentest di un'applicazione web...
posta 24.11.2016 - 16:47
1
risposta

Al posto di JSONP, perché non possiamo ignorare la stessa politica di origine in modo esplicito?

Ho imparato a conoscere la stessa politica sulle origini. Se si desidera accedere al contenuto JSON pubblico, è necessario utilizzare una soluzione alternativa, come CORS, reverse-proxy e JSONP. Se in ECMAscript c'era un modo per uno script d...
posta 06.08.2016 - 11:01
1
risposta

Google potrebbe leggere il contenuto HTML di Map Api InfoWindow?

Ho usato google map api. Ho letto alcuni dati protetti nella mia pagina HTML. E scrivili in InfoWindow su google maps usando javascript. Potrebbe google leggere il contenuto HTML infowindow? Non ci sono risposte per me, o non riesco a capi...
posta 20.01.2016 - 13:34
2
risposte

Posso archiviare in modo sicuro i miei script di amministrazione in un file di script disponibile pubblicamente?

In un progetto su cui sto lavorando ho mescolato tutti i javascript in all.js . Ho un file separato, admin.js che contiene script usati nella sezione admin del progetto. Questo file è incluso solo durante la navigazione nella sezione di...
posta 26.02.2016 - 23:43
2
risposte

È sicuro ottenere l'autenticazione TOKEN dal server con javascript?

È sicuro manipolare con il token di autenticazione all'interno del client javascript su https? Voglio passare quel token a websocket dopo il login. $.getJSON( $SCRIPT_ROOT + '/jscript_get_auth_token', {}, function(data) { // Extract token...
posta 18.05.2016 - 17:33
1
risposta

È possibile utilizzare CSP per un video player basato su Javascript?

Alcuni dei miei colleghi stanno sviluppando un lettore video che utilizza Javascript. AFAIK, non avremo nessun sito web. I client si connetteranno al server, scaricheranno il codice javascript e quindi renderanno il giocatore nel loro sito. I...
posta 19.02.2016 - 12:55
1
risposta

Disabilitazione delle richieste HTTP post-pageload per tenere conto di XSS

Ho un sito web in cui JavaScript viene utilizzato per elaborare dati sensibili (messaggi di chat) sul lato client. Nessuna comunicazione viene eseguita con il server o qualsiasi altro servizio dopo il caricamento iniziale della pagina. È possibi...
posta 19.02.2016 - 11:45
1
risposta

Deobfuscating JavaScript Malware

Recentemente ho esaminato la mia attività di rete e ho scoperto un PCAP direttamente correlato a un Trojan Dropper. Dando uno sguardo veloce al flusso TCP dei pacchetti, ho trovato alcuni contenuti Javascript pericolosi. L'unico problema è ... n...
posta 06.07.2016 - 21:11