Domande con tag 'json'

domande con tag
3
risposte

Come impedisco all'XSS di accedere direttamente alle API AJAX / JSON?

Nel mio ricco client, sfuggo ai dati forniti dall'utente prima del rendering per impedire XSS. I dati provengono dal server senza caratteri di escape. Ciò è necessario per la logica dell'applicazione, ad esempio evitando situazioni in cui per...
posta 22.02.2018 - 09:50
1
risposta

XSS non sfruttabile quando i dati POST vengono inviati in JSON?

C'è un difetto XSS riflesso in un'applicazione che sto testando. Inizialmente, il carico utile viene inviato nella richiesta POST come valore di una chiave JSON e la risposta è anche un oggetto JSON. Il valore restituito nell'oggetto JSON viene...
posta 16.06.2016 - 15:57
1
risposta

Usa la crittografia asimmetrica una volta per scambiare la chiave simmetrica

Sto sviluppando una API JSON che dovrebbe essere in grado di gestire una grande quantità di client. Per fare questo lavoro ho bisogno di ridurre il sovraccarico il più lontano possibile. Una delle idee che ho è di usare https solo nel process...
posta 04.11.2015 - 21:04
2
risposte

Protezione dei dati JSON

Sto pensando di utilizzare JSON come meccanismo di trasporto dei dati tra la mia app iOS e il mio server (il server è un servizio WCF). Durante l'apprendimento di JSON, mi sono reso conto che tutti i dati sono passati direttamente nell'URL. Sono...
posta 29.05.2014 - 07:37
1
risposta

JSON Hijacking è diverso dall'iniezione JSONP?

Sono abbastanza confuso mentre capisco queste due vulnerabilità. In che modo le vulnerabilità correlate a JSONP sono diverse da JSON Hijacking?     
posta 19.09.2017 - 20:34
2
risposte

JSON attraverso lo script src =, come si ottiene l'oggetto JS nella pagina canaglia?

Stavo spiegando l'attacco a un API JSON REST l'altro giorno (nella vita reale, al lavoro, non qui), e ho capito che non capisco parte del vettore di attacco. Scusa se questa è una domanda di base, non sono eccezionale con JavaScript. Un mo...
posta 03.09.2016 - 02:50
1
risposta

Richiedi la firma per l'API REST

Sto costruendo un'API REST che riceverà richieste come: GET /api/entities GET /api/entities?filter=X&sort=Y Questo sembra semplice: avere il client HMAC (percorso + query, chiave), mandarmi un identificatore chiave e HMAC in un'intestaz...
posta 21.05.2015 - 00:30
1
risposta

API CSRF e JSON

Stavo cercando un'implementazione CSRF per Express.js e ho trovato qualcosa che mi ha colpito, in questo post si dice che un'API JSON è vulnerabile agli attacchi CRSF ... è corretto? non è possibile creare una richiesta JSON per eseguire un'oper...
posta 09.02.2017 - 18:50
1
risposta

XSS riflesso tramite JSON eseguito con Burp, ma come farlo in condizioni realistiche?

Sto testando uno scenario con il proxy Burp. Mi trovo su un sito web https://website.com/web C'è un'opzione per eliminare un elemento, quando fai clic su di esso, viene inviata una certa richiesta POST ( XMLHttpRequest , non av...
posta 01.02.2017 - 00:39
1
risposta

XSS dalle uscite JSON

Nel libro "XSS Attacks - Exploits and Defense" scrive Jeremiah Grossman: The exploit found in Google’s reader was due to the developers thinking that JSON was only going to be viewed by the calling script.The developers never realized that...
posta 30.01.2017 - 19:25