Preguntas con etiqueta 'javascript'

preguntas con etiqueta
1
respuesta

Extensión de Chrome: solicitud de origen cruzado

¿Las extensiones de Chrome pueden realizar solicitudes de origen cruzado inyectando un javascript en la página principal? Si es así, ¿no es una vulnerabilidad de seguridad? Scripts de contenido de Google Chrome Solicitudes de origen cru...
hecha 19.12.2016 - 22:27
1
respuesta

Evita el cambio de document.location, al inyectar el comando document.location de JavaScript

Encontré un XSS reflejado en una aplicación durante una prueba, donde defino la cadena que se pasa a: <script language='JavaScript'> document.location='/this-is-my-input' </script> Se produce algún error de entrada, por ejemplo,...
hecha 03.02.2017 - 13:54
1
respuesta

¿Es esta una forma segura de manejar una respuesta JSONP?

Estoy trabajando en un script no crítico que se ejecutará periódicamente, en realidad es solo para el entretenimiento del equipo de desarrollo. Debido a que es por diversión, realmente no importa si se bloquea a veces (es decir, no me importa si...
hecha 24.11.2015 - 21:42
1
respuesta

Vulnerabilidad de cadena de formato no controlada en JavaScript

He estado trabajando en vulnerabilidades de validación de entrada y muy nuevas en Vulnerabilidades de cadenas de formato no controladas, como aprendí hasta ahora que generalmente se explota mediante las funciones printf con " % "....
hecha 28.10.2015 - 09:43
1
respuesta

Redireccionamiento del lado del cliente OAuth 2.0 en lugar de redirección HTTP

Estoy implementando un servidor de autorización OAuth 2.0 utilizando el flujo del Código de Autorización (es decir, los usuarios autorizarán las aplicaciones cliente para conectarse a nuestro servidor). El servidor de autenticación es el mismo q...
hecha 09.10.2015 - 18:05
1
respuesta

Dónde almacenar IV y sal cuando se realiza el cifrado del lado del cliente sin servidor

Estoy creando una aplicación de Chrome que realiza el cifrado del lado del cliente de los mensajes de usuario. No hay servidor en mi arquitectura. Los mensajes de texto cifrados se guardan como archivos en el Google Drive del usuario. Estoy usan...
hecha 01.01.2016 - 01:31
2
respuestas

¿Cómo evito que se agregue javascript adicional al kiosco HTML en el espacio público?

Estoy planeando un proyecto que debe ser compatible con PCI, pero estoy atascado en una vulnerabilidad en particular y no puedo pensar en una forma de protegerme contra él. El escenario es que hay un quiosco instalado en una ubicación pública...
hecha 04.12.2015 - 03:33
1
respuesta

Entendiendo el hack en el sitio de comercio electrónico

Necesito ayuda para comprender este truco y tal vez pueda obtener más información sobre él. Este script se insertó en nuestro sitio web (quizás a través de una contraseña débil): eval(atob("string")); significa la cadena (usando un decod...
hecha 27.11.2015 - 21:47
1
respuesta

¿Cómo puedo realizar con éxito un ataque xss en un sitio web ficticio? [cerrado]

en mi curso de seguridad, nos dijeron que practicáramos un ataque xss con firefox en este sitio web; http://permalink.co/ No se preocupe, este es un sitio web configurado específicamente para que practiquemos la seguridad. El ca...
hecha 10.03.2015 - 17:35
1
respuesta

¿Cuál es la ventaja de pasar tarjetas de crédito a través de javascript en comparación con el servidor (sin guardarlas)?

He notado que las pasarelas de tarjetas de crédito actuales como stripe y wepay recomiendan enviar el número de tarjeta de crédito a través de su marco js (que usaría algo de magia iframe jsonp para pasar los datos). Por lo que sé, no es nece...
hecha 31.03.2015 - 21:30