Preguntas con etiqueta 'javascript'

preguntas con etiqueta
1
respuesta

Protegiendo contra CSRF, JWT, dominio cruzado

Tengo una aplicación pesada frontend con una api de descanso en node.js. La aplicación y el backend están en diferentes hosts. Además, se puede acceder a la aplicación con http y https. La razón por la cual se trata de contenido mixto: los usuar...
hecha 28.05.2017 - 13:32
1
respuesta

¿Cómo evitar que JS se ejecute cuando se pasa como un parámetro a la URL? (sin etiquetas de script)

Necesitaba evitar que ocurra un ataque XSS cuando la carga útil se inserta en la URL como un parámetro. En este caso, sin embargo, no hay etiquetas script . Esta es mi URL que causa un ataque XSS:    localhost / example / file.jsp? test...
hecha 10.07.2017 - 22:53
1
respuesta

¿Se puede explotar la inyección de objetos de JavaScript?

Estoy probando un sitio que se comporta así: Cuando cambio mi nombre de usuario, envío una solicitud POST con datos JSON como este {"username":"John"} . Si cambio eso por ejemplo a {"username":{"test":"test"}} , mi nombre de us...
hecha 17.05.2017 - 01:24
2
respuestas

¿Existe la posibilidad de inyectar XSS en la función jQuery attr?

Me preguntaba si esta función sería vulnerable a XSS. var url = "google.com"; if (url.indexOf("http") != 0) { url = "http://" + url; } $("<a/>").attr("href", url); La 'url' es la entrada del usuario, y el <a/> se c...
hecha 23.05.2017 - 10:04
1
respuesta

pasando la entrada del usuario a la línea de comando

Estoy usando crack lib para comprobar la seguridad de la contraseña para mi aplicación web. Sin embargo, me preocupa si mi implementación actual es segura o no. El usuario ingresa una contraseña, que luego se ejecuta a través del siguiente có...
hecha 27.10.2016 - 01:31
1
respuesta

¿Cuál es la mejor manera de probar una aplicación web AngularJS con un backend REST?

Las aplicaciones web de Traditionall a menudo están saturadas por escáneres de vulnerabilidades como Burp Suite, OWASP ZAP o con las otras herramientas incluidas en Kali. Pero, ¿cuál es la mejor manera de hacer pentest automáticamente una aplica...
hecha 24.11.2016 - 16:47
1
respuesta

En lugar de JSONP, ¿por qué no podemos omitir explícitamente la Política de Same Origin?

He estado aprendiendo sobre la misma política de origen. Si solo desea acceder al contenido JSON público, debe utilizar una solución alternativa, como CORS, proxy inverso y JSONP. Si hubiera una forma en ECMAscript para que un script le pidie...
hecha 06.08.2016 - 11:01
1
respuesta

¿Podría Google leer el contenido HTML de Map Api InfoWindow?

Utilicé google map api. Leí algunos datos altamente protegidos en mi página HTML. Y escríbalos en InfoWindow en google maps usando javascript. ¿Podría Google leer el contenido html de la ventana de información? No hay respuesta para mí, o...
hecha 20.01.2016 - 13:34
2
respuestas

¿Puedo almacenar mis scripts de administración de manera segura en un archivo de script disponible públicamente?

En un proyecto en el que estoy trabajando tengo todos los javascripts mezclados en all.js . Tengo un archivo separado, admin.js que contiene los scripts utilizados en la sección de administración del proyecto. Este archivo solo se i...
hecha 26.02.2016 - 23:43
2
respuestas

¿Es seguro obtener la autorización TOKEN del servidor con javascript?

¿Es seguro manipularlo con el token de autenticación dentro del javascript del lado del cliente a través de https? Quiero pasar ese token a websocket después de iniciar sesión. $.getJSON( $SCRIPT_ROOT + '/jscript_get_auth_token', {}, function(...
hecha 18.05.2016 - 17:33