Preguntas con etiqueta 'javascript'

preguntas con etiqueta
1
respuesta

¿Es posible evaluar las conexiones que hace el navegador Tor cuando accedemos a un sitio web?

Sé que la aplicación javascript de un sitio web puede abrir conexiones directas con mi computadora, fuera de la red de cebolla, y de esa manera, la IP real del usuario del navegador Tor termina siendo revelada. ¿Cómo puedo evaluar si un sitio en...
hecha 08.05.2017 - 14:29
2
respuestas

¿La comparación de entradas de usuarios no saneados es suficiente para ser vulnerable a XSS?

Diga que recibo una entrada de usuario de window.location.hash . ¿La comparación de esta entrada no saneada con los valores de la lista blanca es suficiente para abrirme a las vulnerabilidades de XSS? Toma el siguiente código de ejemplo...
hecha 01.03.2017 - 18:28
1
respuesta

¿Responder a mi inyección html?

Estoy practicando inyección de HTML en el sitio web de mis amigos (él sabe que estoy practicando). Así que encontré una vulnerabilidad si escribo <!----> en el cuadro de búsqueda, el nombre de usuario o la contraseña del sitio web l...
hecha 21.02.2017 - 08:45
1
respuesta

¿Cuáles son las posibles consecuencias de evaluar las opiniones de los usuarios con JavaScript del lado del cliente?

Tengo un sitio web en el que un usuario ingresa una ecuación de línea (como y = 2x + 5 ) y les muestra la ecuación. Actualmente, para trazar la ecuación simplemente estoy ejecutando eval() en la cadena de entrada, como esto: for (x...
hecha 24.11.2016 - 05:16
2
respuestas

Integridad del sub-recurso para recursos del mismo origen (primera parte)

Casi todos los artículos que leí sobre integridad del sub-recurso cubren la carga de scripts (y CSS) de CDN y recursos de terceros, lo que tiene sentido. ¿Hay algún valor en agregar el atributo integrity a mis propios scripts (es de...
hecha 17.10.2016 - 04:38
1
respuesta

¿Inyectar un marcado personalizado a través de vanilla JS sin aumentar el riesgo de XSS del lado del cliente? [duplicar]

El mundo del software de empresa a empresa siempre ha requerido un alto nivel de marcado personalizado por cliente asociado con la marca y la personalización. En un SPA que generalmente significa inyectar marcas en el script. Algunas publi...
hecha 24.08.2016 - 17:26
1
respuesta

Cómo la incapacidad para modificar el título de la función de alerta () de javascript ayuda en la lucha contra el phishing

Estaba usando javascript en una de mis aplicaciones web y quería mostrar una alerta en la pantalla usando la función alert("some message") con un título personalizado. ejemplo: pero como lo sugieren muchos sitios web, no es po...
hecha 25.09.2016 - 16:21
1
respuesta

¿Cómo puedo desactivar la alerta de javascript y acceder a la página web? [cerrado]

Hace unos días abrí una página web de mi sitio web académico. Quería descargar la página web pero tiene un cuadro de alerta de javascript emergente, por lo que no pude acceder a nada en el navegador ni en la página web. Finalmente tuve que cerra...
hecha 05.07.2016 - 15:14
1
respuesta

Antes de que un atacante intente explotar eval (), ¿cómo sospecharían que está siendo utilizado por una aplicación de destino?

Estoy haciendo la pregunta en el contexto de XSS RCE / RFI como resultado de la explotación de eval() del lado del servidor. A menudo se recomienda evitar su uso, pero no me queda claro cómo se intentaría explotar algo antes de averigua...
hecha 06.12.2015 - 20:47
1
respuesta

Seguridad de XMLHttpRequest Javascript de origen cruzado

Estoy creando una extensión de Chrome que hará solicitudes de "obtención" y "publicación" de origen cruzado a algunos sitios web de terceros. Llevo horas investigando este proceso y cada vez me preocupo más por la seguridad. Necesito obtener...
hecha 18.10.2015 - 20:14