Preguntas con etiqueta 'jquery'

preguntas con etiqueta
1
respuesta

jquery.js Evaluación de código dinámico: Inyección de código en la línea setTimeout ()

Estoy trabajando para solucionar un posible problema de seguridad. Ejecuté mi HP fortify SCA y obtuve un informe de prioridad crítica en mi archivo jquery.js.    Categoría: Evaluación de código dinámico: Inyección de código (3 problemas)....
hecha 20.02.2017 - 17:43
2
respuestas

¿Existen vulnerabilidades de XSS durante la vista previa de la imagen antes de cargarla?

Escribí una herramienta JQuery para obtener una vista previa de las imágenes antes de subirlas. El usuario A hace clic en el botón Explorar para seleccionar una imagen lo selecciona un evento de cambio muestra la imagen Si el usuario...
hecha 22.06.2018 - 16:18
3
respuestas

¿Qué es una práctica más segura? Alojamiento desde CDN o sitio web principal.

Ha habido un largo debate sobre el modelado CSP, tengo una aplicación web y uso JQuery, para eso uso el sitio principal de JQuery http://code.jquery.com/jquery-x.yy.z.min.js para alojarlo en mi sitio para funcionar, sé que los CDN pueden...
hecha 22.07.2016 - 10:00
2
respuestas

¿Es jQuery 2.1.1 vulnerable a la inyección de comandos del sistema operativo?

Barracuda ha encontrado varias instancias de vulnerabilidades de inyección de comandos del sistema operativo en un sitio web estático. En cada caso, la URL vulnerable era el propio complemento jQuery (versión 2.1.1). Barracuda califica cada g...
hecha 27.05.2016 - 14:49
1
respuesta

basado en DOM XSS: jQuery ("# HiddenReferral"). val (jQuery (location) .attr ('href'));

Burp Suite ha informado sobre XSS basado en DOM y mostró esta consulta como vulnerable:    La aplicación puede ser vulnerable a los scripts entre sitios basados en DOM. Los datos se leen desde la ubicación y se pasan a jQuery () a través de l...
hecha 26.05.2016 - 10:58
2
respuestas

Agregando HTML escapado a DOM

Estoy aprendiendo sobre XSS y estoy tratando de entender por qué el HTML que se agrega al DOM está activando la vulnerabilidad de XSS. La aplicación dibujará una superposición modal para un formulario (bootstrap) y agregará HTML (con escape y...
hecha 12.10.2017 - 22:13
1
respuesta

¿Cuál sería el impacto de una vulnerabilidad CVE-2015-9251?

He visto que en las versiones de jQuery anteriores a jQuery 3 existe la vulnerabilidad CVE-2015-9251 que puede generar scripts entre sitios. ¿Es esta una vulnerabilidad limitada? ¿Cuáles podrían ser sus posibles efectos? ¿Debe ser tratado como p...
hecha 26.10.2018 - 10:30
1
respuesta

jQuery $ .get código HTML y XSS

Código JS var id = $(this).data("id"); $.get("/api.php",{id:encodeURIComponent(id)}).done(function(data){ $('<div>'+data+'</div>').appendTo('.parent'); }); api.php: echo json_encode('<h1>Hi username!<h1><p&...
hecha 05.04.2018 - 12:03
2
respuestas

¿Existe la posibilidad de inyectar XSS en la función jQuery attr?

Me preguntaba si esta función sería vulnerable a XSS. var url = "google.com"; if (url.indexOf("http") != 0) { url = "http://" + url; } $("<a/>").attr("href", url); La 'url' es la entrada del usuario, y el <a/> se c...
hecha 23.05.2017 - 10:04
2
respuestas

¿Es seguro obtener la autorización TOKEN del servidor con javascript?

¿Es seguro manipularlo con el token de autenticación dentro del javascript del lado del cliente a través de https? Quiero pasar ese token a websocket después de iniciar sesión. $.getJSON( $SCRIPT_ROOT + '/jscript_get_auth_token', {}, function(...
hecha 18.05.2016 - 17:33