Preguntas con etiqueta 'json'

2
respuestas

JSON a través del script src =, ¿cómo se obtiene el objeto JS en la página deshonesta?

El otro día expliqué el ataque a una API de REST JSON (en la vida real, en el trabajo, no aquí), y descubrí que no entiendo parte del vector de ataque. Lo siento, si esta es una pregunta bastante básica, no estoy bien con JavaScript. Una f...
hecha 03.09.2016 - 02:50
1
respuesta

Solicitud de firma para la API REST

Estoy creando una API REST que recibirá solicitudes como: GET /api/entities GET /api/entities?filter=X&sort=Y Esto parece sencillo: tener el cliente HMAC (ruta + consulta, clave), enviarme un identificador de clave y HMAC en un encabeza...
hecha 21.05.2015 - 00:30
1
respuesta

API de CSRF y JSON

Estaba buscando una implementación CSRF para Express.js, y encontré algo que me llamó la atención, en esta publicación dice que una API JSON no es vulnerable a los ataques CRSF ... ¿es correcto? ¿no es posible falsificar una solicitud JSON para...
hecha 09.02.2017 - 18:50
1
respuesta

XSS reflejado a través de JSON ejecutado con Burp, pero ¿cómo hacerlo en condiciones realistas?

Estoy probando un escenario con proxy Burp. Estoy ubicado en un sitio web https://website.com/web Hay una opción allí para eliminar un elemento, al hacer clic en él, se envía una determinada solicitud POST ( XMLHttpRequest...
hecha 01.02.2017 - 00:39
1
respuesta

XSS de salidas JSON

En el libro "Ataques XSS - Explotaciones y defensa" Jeremiah Grossman escribe:    La vulnerabilidad encontrada en el lector de Google se debió a que los desarrolladores pensaron que JSON solo iba a ser visto por el script de llamada. Los desa...
hecha 30.01.2017 - 19:25
1
respuesta

¿Cifrar / firmar una solicitud de cliente a API?

Estamos construyendo una API JSON sobre nuestra aplicación web Ruby on Rails, utilizando JSONAPI :: Resources para exponer puntos finales y Doorkeeper para manejar la autenticación del usuario. La mayoría de nuestros puntos finales de API...
hecha 18.09.2015 - 16:30
1
respuesta

Cómo proteger datos JSON [cerrado]

Hola, estoy usando JSON en el lado de la interfaz de usuario. Quiero proteger esos datos. ¿Cuáles son las formas posibles de proteger mi JSON? Tengo un escenario en el que tengo un objeto JSON con datos en el lado de la interfaz de usuario. Mien...
hecha 31.01.2014 - 14:23
1
respuesta

¿La prevención XSS solo en la interfaz es suficiente para los servicios JSON? [duplicar]

Tenemos una aplicación con un formulario donde el usuario puede ingresar un comentario. El formulario se envía utilizando AJAX. Los valores también se leen a través de AJAX y el backend los devuelve como JSON, y luego se analizan con JavaScrip...
hecha 09.10.2014 - 16:18
2
respuestas

¿Cómo puedo usar un ataque MitM para modificar los contenidos interceptados sobre la marcha? (educativo)

Estoy tratando de comenzar a aprender sobre el pentesting, y para mi primer proyecto de autoaprendizaje, quiero interceptar la comunicación entre un cliente (computadora portátil) y un servidor (Ubuntu). Se están comunicando a través de TCP util...
hecha 03.03.2018 - 02:55
1
respuesta

¿Usar JSON es una forma segura de manejar consultas SQL en Python?

La pregunta Intentaré articular esto de la manera más clara y mejor posible: Supongamos que tengo un programa python que se conecta a una base de datos en un servidor. A continuación, les pido que consideren que este programa de Python...
hecha 06.10.2018 - 04:56