Preguntas con etiqueta 'xssi'

2
respuestas

¿Serán las cookies del mismo sitio una protección suficiente contra CSRF y XSS?

Debo decir que me gusta esta idea y parece que traerá una nueva forma de protección contra CSRF y XSS o al menos reducirá esos ataques. Entonces, ¿qué tan efectiva será esta protección?    SameSite-cookies es un mecanismo para definir cómo...
hecha 30.04.2016 - 11:37
1
respuesta

¿Cómo funciona la inclusión de un prefijo mágico en una respuesta JSON para prevenir ataques XSSI?

Mientras trabajaba en un proyecto que usaba la API REST para Gerrit Code Review, me di cuenta de que hacían algo que me parecía extraño Source :    Para evitar ataques de inclusión de secuencia de comandos en sitios cruzados (XSSI), el cuerp...
hecha 13.01.2016 - 21:57
1
respuesta

Es posible algún tipo de CSRF usando la etiqueta img / script para leer información sensible

Supongamos que tengo una API en https://mysite/api/getSensitiveData que: Utiliza GET Protegido con autenticación de cookies Devuelve JSON con algunos datos confidenciales Un chico malo crea un sitio en su servidor que tiene una...
hecha 26.04.2018 - 18:55
1
respuesta

¿Cómo puedo obtener JavaScript dinámico de una página web?

Estoy intentando entender los ataques de inclusión de secuencia de comandos en sitios cruzados (XSSI). Para esto, he leído Ahora mi enfoque principal es detectar los archivos dinámicos de JavaScript de la página web seleccionada. Lo que qu...
hecha 17.10.2017 - 17:13
1
respuesta

¿Cómo obtener el contenido de JS de la vulnerabilidad de XSSI?

Estoy aprendiendo sobre los ataques XSSI y me pregunto si se puede usar el siguiente JS dinámico para acceder al contenido. Dinamic.js: if (window.location.hostname === 'Demo.site.com' ){ updateLoginHeader('Nick', 'IWANT-THIS-SECRET');...
hecha 29.05.2017 - 09:48
3
respuestas

¿Por qué no se puede omitir el SOP utilizando el atributo "src" en la etiqueta de script?

No estoy familiarizado con Javascript, pero quiero saber qué es lo que no se puede hacer en estos pasos para omitir el SOP y extraer datos confidenciales: establece la etiqueta <script src="https://facebook.com/messages"></script...
hecha 29.03.2018 - 19:18