Preguntas con etiqueta 'json'

3
respuestas

XSS rompiendo el atributo JSON.parse y href

Tengo un caso bastante complicado en el que intento realizar un ataque XSS almacenado al cargar un archivo jpg con un nombre de archivo malicioso. El espacio en blanco se está filtrando, pero parece comillas simples y dobles junto con < &g...
hecha 31.05.2018 - 13:13
1
respuesta

Previniendo ataques de repetición con JWT

Actualmente estoy creando una API REST que se usará para una aplicación web y móvil. La autenticación a la API se realizará utilizando Tokens web JSON . Al usar JWT, podemos usar el reclamo exp para que expire el token después de un t...
hecha 27.11.2017 - 17:14
1
respuesta

REST API autenticación sin estado usando inicio de sesión social

Estoy implementando una API REST para nuestras aplicaciones móviles en las que el usuario iniciará sesión utilizando los SDK de varias redes sociales. Actualmente, la estrategia de inicio de sesión es la siguiente: Los tokens (access_token e...
hecha 24.01.2015 - 14:52
1
respuesta

¿Se beneficia de especificar el conjunto de caracteres JSON Content-Type?

Según el Estándar de verificación de seguridad de aplicaciones OWASP :    V11.3 Verifique que cada respuesta HTTP contenga un encabezado de tipo de contenido   especificando un conjunto de caracteres seguro (por ejemplo, UTF-8). Según el...
hecha 03.03.2015 - 11:04
2
respuestas

Asegurar que el Cliente está autorizado para usar el token web JSON

Los JSON Web Tokens (JWT) son objetos firmados por el servidor que el servidor emisor utiliza para identificar a un usuario, rastrear datos de sesión y autorizar solicitudes. El hecho de que JWT esté firmado por el servidor garantiza que el t...
hecha 01.09.2015 - 23:13
1
respuesta

¿Alguna razón para enviar a un usuario un salto de sesión?

Soy un pasante de verano empleado a tiempo completo. Para resumir, el principal desarrollador del proyecto en el que me interné fue y, dado que soy la única persona que conoce el proyecto, me contrataron a tiempo completo para mantenerlo. De...
hecha 20.01.2017 - 16:58
2
respuestas

ataques de autenticación basados en token

El token web JSON parece ser una muy buena herramienta para autenticar usuarios. Pero me pregunto si un atacante puede tomar el token usado por otro usuario y usarlo para sus propios ataques. Y para ser más precisos, lo que hace que este método...
hecha 30.04.2015 - 17:13
2
respuestas

¿Por qué “! - script” en una cadena JS causa una página rota / denegación de servicio para esa página?

Tenía la impresión de que todo lo que tenía que hacer para hacer seguro JSON en línea era romper cualquier etiqueta de </script> de cierre en cadenas, por ejemplo. escapa de / like <\/script> . Sin embargo, enc...
hecha 03.09.2018 - 07:58
1
respuesta

Sobrescribir el archivo en el caché del navegador

Me enteré de un incidente de seguridad en el que alguien colocó accidentalmente información confidencial dentro de un archivo JSON en caché. Me preguntaba, para el propósito de la contención, cuál es la mejor manera de obligar a los clientes a s...
hecha 12.12.2016 - 22:27
1
respuesta

¿Es esta una forma segura de manejar una respuesta JSONP?

Estoy trabajando en un script no crítico que se ejecutará periódicamente, en realidad es solo para el entretenimiento del equipo de desarrollo. Debido a que es por diversión, realmente no importa si se bloquea a veces (es decir, no me importa si...
hecha 24.11.2015 - 21:42