Preguntas con etiqueta 'crossdomain'

preguntas con etiqueta
6
respuestas

¿La inyección de valores de cadena de consulta directamente en HTML supone un riesgo para la seguridad?

Alguien informó de un error en mi sitio que realmente no considero un problema. Mi sitio tiene una URL similar a esta: www.site.com/ajax/ads.asp?callback=[text injection] Por lo tanto, el tipo de archivo es application / json, y no veo cómo...
hecha 14.12.2014 - 22:06
3
respuestas

¿Cómo CORS previene XSS?

Recientemente me enteré de CORS y obtuve el la impresión de que su propósito es evitar XSS . Con CORS, el navegador bloquea las solicitudes a diferentes dominios, a menos que haya encabezados en su lugar. Pero si una persona con intencio...
hecha 23.12.2015 - 14:24
4
respuestas

¿Cors está ayudando de alguna manera contra la falsificación entre sitios?

He estado leyendo en los últimos días sobre CORS y en muchos lugares, se menciona porque es una característica de "Seguridad" para ayudar al mundo desde la falsificación de dominios cruzados. Todavía no veo el beneficio y el razonamiento de C...
hecha 26.08.2015 - 13:30
1
respuesta

¿Puede un sitio web realizar una solicitud HTTP a "localhost"? ¿Cómo hace para eludir la política de dominios cruzados?

Encontré este sitio web que habla sobre cómo corregir una vulnerabilidad de Redis al explotando esa misma vulnerabilidad. El sitio web en cuestión tiene un botón "parcharme" y, si tiene un servidor Redis sin contraseña en ejecución en su má...
hecha 19.06.2015 - 15:27
1
respuesta

Seguridad sobre window.opener y iframes

Tengo 3 dominios: domainA domainB domainC Si configuro target="_blank" en domainA con un enlace a domainC , domainC puede acceder a un grupo de propiedades de domainA . Es por eso que uso target="_bl...
hecha 03.12.2016 - 13:20
2
respuestas

¿Cómo la vulnerabilidad originada en Facebook Origin de Access-Control-Allow-Origin: null permitió el acceso de origen cruzado?

Recientemente, se corrigió y reveló una vulnerabilidad en la aplicación de mensajería de Facebook que permitía a los ataques acceder a los mensajes privados de los usuarios a través de AJAX de origen cruzado.    Un error simple permite a los...
hecha 14.12.2016 - 21:33
3
respuestas

Dominio cruzado externo incluye secuencia de comandos

Una de mis aplicaciones web se sometió a una evaluación de vulnerabilidad recientemente, y uno de los hallazgos se relaciona con el script de inclusión de varios dominios. Nuestra aplicación web utiliza addthis_widget.js de AddThis para marcar...
hecha 16.02.2015 - 12:05
2
respuestas

Seguridad iframe entre dominios

¿Qué tan explotable es un sitio que escucha los mensajes del navegador de cualquier persona? Estoy trabajando en un sitio donde he encontrado algunos problemas con iframe. El caso es que el sitio A tiene un iframe del sitio B, y el sitio A es...
hecha 14.07.2016 - 15:32
1
respuesta

vulnerabilidades de Crossdomain.xml

<cross-domain-policy> <allow-access-from domain="*" secure="false"/> <site-control permitted-cross-domain-policies="master-only"/> </cross-domain-policy> Me gustaría hacer dos preguntas: ¿Es crossdomain.xml vulne...
hecha 19.08.2015 - 22:43
2
respuestas

¿Es segura la siguiente solución de autenticación o me falta algo?

Context: Tengo dos servidores web ServerA (pila LAMP) y ServerB (pila ASP.NET). Creo que la tecnología (con suerte) no importa. Ambos servidores requieren autenticación y, supuestamente, hacen bien su trabajo, si no está fuera de alcance en es...
hecha 22.03.2016 - 14:16