Preguntas con etiqueta 'json'

preguntas con etiqueta
3
respuestas

¿Cuál es la diferencia entre JWT y cifrar algunos json manualmente con AES?

¿Cuál es la diferencia entre usar un token web JSON (JWT) y simplemente tener una clave AES y enviar y recibir un JSON cifrado del cliente? Por ejemplo, esto podría enviarse al cliente: AES256.encrypt(JSON.stringify({id: 5552, admin: true})...
hecha 21.02.2018 - 10:09
3
respuestas

Proteger una API REST multitranes y con múltiples bases de datos

Estoy buscando mejorar la seguridad de una API REST existente a la que se accede a través de SSL. El servicio web es multi-inquilino, de modo que cada inquilino tiene un TenantId asignado. El problema al que me enfrento se puede resumir en:...
hecha 23.01.2015 - 15:27
3
respuestas

¿Cómo puedo evitar el XSS reflejado en mis servicios web JSON?

Tengo un servicio web que toma datos POST (JSON) y devuelve parte del objeto de solicitud en la respuesta JSON. Esto está abierto a XSS si la respuesta es representada como HTML por el navegador, ya que alguien podría agregar HTML arbitrario...
hecha 20.09.2012 - 04:25
2
respuestas

XSS a través de JSON: ¿Por qué una aplicación web no desinfecta el hash de parámetros entrantes o los valores JSON salientes de etiquetas maliciosas como Script?

Recientemente, trabajando en una aplicación web basada en Rails para una empresa, tuve que analizar la vulnerabilidad de XSS. Resulta que la aplicación, en algunos lugares, podría tomar una etiqueta HTML (por ejemplo, <script>jscodehere...
hecha 19.12.2015 - 10:05
2
respuestas

CSRF con JSON POST cuando Content-Type debe ser application / json

Estoy probando una aplicación web para la cual se realizan acciones comerciales mediante el envío de solicitudes JSON como por ejemplo: POST /dataRequest HTTP/1.1 Host: test.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/2...
hecha 01.10.2017 - 18:53
1
respuesta

¿Cómo funciona la inclusión de un prefijo mágico en una respuesta JSON para prevenir ataques XSSI?

Mientras trabajaba en un proyecto que usaba la API REST para Gerrit Code Review, me di cuenta de que hacían algo que me parecía extraño Source :    Para evitar ataques de inclusión de secuencia de comandos en sitios cruzados (XSSI), el cuerp...
hecha 13.01.2016 - 21:57
1
respuesta

token generado aleatoriamente contra token web JSON

Estoy intentando asegurar el acceso a mi servidor web. He estado implementando una autenticación de token web JSON donde genero aleatoriamente una clave secreta y la asocio con ese usuario. La clave secreta se utilizará para codificar el toke...
hecha 06.08.2015 - 20:30
1
respuesta

¿Diseñando un inicio de sesión único con JSONP / CORS?

Me gusta la forma en que OAuth / OpenID puede autenticar / identificar a un usuario de otro dominio, pero solo si el otro dominio lo permite (presumiblemente en las instrucciones del usuario). Me gustaría hacer algo similar, pero utilizando C...
hecha 31.05.2013 - 16:57
3
respuestas

¿Cifrado simétrico o asimétrico para el token web JSON?

Estamos planeando usar JSON Web Tokens (JWT) para nuestro servidor de autenticación, y actualmente estoy evaluando qué enfoque de encriptación se debe tomar para el token JWE. Parece que hay dos opciones para administrar la clave de cifrado s...
hecha 26.03.2013 - 16:10
1
respuesta

¿Por qué el ataque de secuestro JSON no funciona en los navegadores modernos? ¿Cómo fue arreglado?

Entiendo que las vulnerabilidades de secuestro de JSON se han corregido en todos los navegadores modernos, pero ¿cómo exactamente? Hay muchos artículos que hablan sobre técnicas para prevenir los ataques de secuestro JSON (es decir, anteponer...
hecha 02.04.2017 - 18:23