Domande con tag 'xssi'

2
risposte

I cookie dello stesso sito saranno una protezione sufficiente contro CSRF e XSS?

Devo dire che mi piace questa idea e sembra che porterà una nuova forma di protezione contro CSRF e XSS o almeno ridurrà quegli attacchi. Quindi, quanto sarà efficace questa protezione? SameSite-cookies is a mechanism for defining how co...
posta 30.04.2016 - 11:37
1
risposta

In che modo includere un prefisso magico a una risposta JSON per impedire gli attacchi XSSI?

Mentre lavoravo a un progetto che utilizzava l'API REST per Gerrit Code Review, ho notato che facevano qualcosa che pensavo fosse strano Fonte : To prevent against Cross Site Script Inclusion (XSSI) attacks, the JSON response body starts w...
posta 13.01.2016 - 21:57
1
risposta

È possibile utilizzare una sorta di CSRF usando il tag img / script per leggere le informazioni sensibili

Diciamo che ho un'API in https://mysite/api/getSensitiveData che: Utilizza GET Protetto con l'autenticazione cookie Restituisce JSON con alcuni dati sensibili Un cattivo ragazzo crea un sito sul suo server che ha un tag immagine:...
posta 26.04.2018 - 18:55
1
risposta

Come posso ottenere JavaScript dinamico da una pagina Web?

Sto cercando di capire gli attacchi di Cross Site Script Inclusion (XSSI). Per questo, ho letto il recente articolo su questo tipo di attacco. Ora il mio obiettivo principale è il rilevamento di file javascript dinamici dalla pagina Web di...
posta 17.10.2017 - 17:13
1
risposta

Come ottenere il contenuto JS dalla vulnerabilità XSS?

Sto imparando sugli attacchi XSSI e mi chiedo se è possibile utilizzare il seguente JS dinamico per accedere al contenuto. Dinamic.js: if (window.location.hostname === 'Demo.site.com' ){ updateLoginHeader('Nick', 'IWANT-THIS-SECRET'); }...
posta 29.05.2017 - 09:48
3
risposte

Perché non è possibile aggirare SOP utilizzando l'attributo "src" nel tag dello script?

Non ho familiarità con Javascript, ma voglio sapere cosa non può essere fatto in questa procedura per aggirare SOP ed estrarre dati sensibili: imposta il tag <script src="https://facebook.com/messages"></script> il browser...
posta 29.03.2018 - 19:18