Preguntas con etiqueta 'javascript'

preguntas con etiqueta
1
respuesta

jquery.js Evaluación de código dinámico: Inyección de código en la línea setTimeout ()

Estoy trabajando para solucionar un posible problema de seguridad. Ejecuté mi HP fortify SCA y obtuve un informe de prioridad crítica en mi archivo jquery.js.    Categoría: Evaluación de código dinámico: Inyección de código (3 problemas)....
hecha 20.02.2017 - 17:43
2
respuestas

JSON a través del script src =, ¿cómo se obtiene el objeto JS en la página deshonesta?

El otro día expliqué el ataque a una API de REST JSON (en la vida real, en el trabajo, no aquí), y descubrí que no entiendo parte del vector de ataque. Lo siento, si esta es una pregunta bastante básica, no estoy bien con JavaScript. Una f...
hecha 03.09.2016 - 02:50
3
respuestas

¿Cómo hacer que una víctima envíe una publicación a través de XSS?

En DVWA estoy tratando de entender diferentes métodos de ataque que el escenario habitual alert('XSS'); . Estoy utilizando XSS reflexivo para entregar una carga útil que luego hace que el usuario que sigue la URL envíe una publicación e...
hecha 02.09.2016 - 13:56
1
respuesta

¿Cómo obtener el contenido de JS de la vulnerabilidad de XSSI?

Estoy aprendiendo sobre los ataques XSSI y me pregunto si se puede usar el siguiente JS dinámico para acceder al contenido. Dinamic.js: if (window.location.hostname === 'Demo.site.com' ){ updateLoginHeader('Nick', 'IWANT-THIS-SECRET');...
hecha 29.05.2017 - 09:48
1
respuesta

Regla de seguridad de Mod 973338

ModSecurity bloqueó el acceso debido a lo siguiente:    [msg "Filtro XSS - Categoría 3: Vector URI de Javascript"] [datos "Coincidencia   Datos: esrco encontrado dentro de ARGS: as_email: [email protected] "]   [gravedad "CRITICAL"]...
hecha 14.06.2018 - 05:12
2
respuestas

Inyección de scripts en todos los navegadores

Tengo algo inyectando un script en todos los navegadores web que he probado (Firefox, IE, Edge, Chrome) y no funciona. t parece una extensión (ya que lo hace en diferentes navegadores web). Sospecho que es un proceso de inyección o un proceso...
hecha 13.07.2016 - 13:21
2
respuestas

Función de seguridad: impidiendo que javascript cierre la ventana

Las últimas versiones de la mayoría de los navegadores web han implementado una función para evitar que javascript cierre la ventana o pestaña actual. Método window.close () de Firefox    Solo se puede llamar a este método para ventanas...
hecha 11.04.2016 - 13:51
1
respuesta

Javascript desconectado y secreto cifrado

Cuando se utiliza Javascript en línea con el servidor, el servidor puede proporcionar un vector de Clave e Inicialización único para su uso en AES-CBC disponible en la API de Webcrypto. Cada usuario tiene una clave asignada a ellos. El cliente p...
hecha 14.06.2016 - 00:25
1
respuesta

¿Las barras invertidas que no se escapan son peligrosas en términos de XSS?

Pensé que el carácter \ (barra diagonal inversa) era un carácter peligroso que necesitabas filtrar / codificar adecuadamente para proteger contra ataques XSS (OWASP también lo dice), y todavía lo hago, pero ¿por qué? Encontré un sitio...
hecha 11.10.2018 - 20:07
2
respuestas

Diseño de alto nivel para aplicaciones web seguras

Estoy buscando algunos consejos sobre el diseño de una aplicación web segura para almacenar contraseñas. ¿Por qué reinventar la rueda? Porque no confío en un tercero con todas mis contraseñas. Aquí están mis pensamientos: Hay 3 componente...
hecha 22.01.2015 - 23:06