Preguntas con etiqueta 'javascript'

preguntas con etiqueta
2
respuestas

¿Qué puede hacer un archivo javascript inyectado localmente?

Estaba haciendo algunas pruebas en mi pequeño proyecto de foro. Descubrí que es posible inyectar un archivo javascript a través de un pequeño agujero de seguridad. Básicamente, el hacker puede inyectar cualquier código javascript que desee. Ahor...
hecha 22.04.2018 - 21:57
1
respuesta

¿Es posible enviar cookies desde un servidor de terceros al navegador utilizando CORS?

ACTUALIZADO DE LA ÚLTIMA PREGUNTA CON MÁS DETALLES Estoy creando una aplicación javascript completa a partir de la API de Salesforce.com sin un script del lado del servidor que se alojará en el dominio de salesforce.com (https) Esta apli...
hecha 16.08.2018 - 19:29
1
respuesta

¿Cómo manejan los navegadores document.write en este caso XSS basado en DOM?

OWASP menciona el siguiente ejemplo de código vulnerable a un ataque XSS basado en DOM: Select your language: <select><script> document.write("<OPTION value=1>"+document.location.href.substring(document.location.hre...
hecha 11.05.2018 - 01:12
1
respuesta

¿Se pueden mitigar los problemas del cifrado de JavaScript?

A principios de este año, me pidieron que evaluara el uso de JavaScript para cifrar la información confidencial en el navegador del usuario antes de enviarla a nuestro servidor. Si bien mi primera respuesta fue "preguntar a un experto", mi jefe...
hecha 22.12.2017 - 16:32
1
respuesta

¿Cuál es el valor de un bloqueador XHR?

Mi pregunta no es específica de uMatrix, pero está enmarcada desde ese PoV: información de fondo: uMatrix es una extensión del navegador cuya interfaz principal ofrece una cuadrícula rectangular de permisos (permitir / heredar / bloquear), co...
hecha 26.01.2018 - 21:44
2
respuestas

¿Todo el XSS reflejado es malo?

Me encontré con un sitio hoy que era vulnerable a XSS. Pude obtener un cuadro de alerta para mostrar a través de un cuadro de entrada y algo de JavaScript. Estaba a punto de informarle esto al propietario del sitio, pero me di cuenta de que no h...
hecha 09.08.2017 - 15:39
1
respuesta

¿Es posible realizar un ataque XSS en el título / subtítulo de una página web?

Tengo una carga útil XSS que ejecutó correctamente el javascript cuando pegué la URL en el navegador y presioné Enter. Esta es la URL: localhost/path/to/file.jsp?aMessage=%3Cscript%3Ealert(%27XSSed%27)%3C/script%3E Donde aMessage se...
hecha 06.07.2017 - 18:12
2
respuestas

Validar si la URL (mensaje) proviene de una fuente confiable

Estamos trabajando en una página de redireccionamiento para nuestras aplicaciones móviles. Los usuarios irían a una página como: https://mobileredirect.our-app.com?target=https://clientdomain.com/some_resource Las aplicaciones móviles en...
hecha 04.07.2017 - 10:04
2
respuestas

Bloquear ventana emergente usando código Javascript

Cuando un usuario ingresa sus credenciales en el formulario de inicio de sesión de una aplicación web, las credenciales pueden ser pirateadas a través de una extensión maliciosa (que el usuario ha instalado). Ahora, supongamos que la extensión m...
hecha 07.06.2017 - 16:10
2
respuestas

¿Un usuario básico de Linux sin sudo o un usuario de sudo pero con una contraseña para sudo ofrece suficiente seguridad contra las vulnerabilidades de las páginas web?

Pregunta: me gustaría saber si es una buena protección navegar por la red usando una cuenta de usuario básica no sudo, en mi distribución de Linux contra ataques de páginas web como scripts y otras plataformas multiplataforma ¿Amenazas basadas...
hecha 04.05.2017 - 09:34