Описание тега client-side-attacks
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications. XSS enables attackers to inject client-side script into web pages viewed by other users. A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same-origin policy.
-Source Wiki
1
ответ
Очистить ввод текста для отображения на странице HTML
Построили чат-программу для нашего сайта. Часть программы действительно позволяет область комментариев веб-страницы для чата о странице. Таким образом, есть ввод текста, поэтому текст вводится и отображается заново на странице.Очевидно, что это поте…
24 янв '18 в 09:00
1
ответ
Предотвращение крипто-майнинг-атаки на систему / сервер
Недавно я видел, как атака алгоритма майнинга криптовалюты становится все более распространенной в интернете. Большая часть сервера / системы подвергается риску и использует вычисления (CPU Processing) для обработки данных майнинга. Большинство люде…
21 фев '18 в 10:41
1
ответ
Векторы атаки XSS
Каковы некоторые распространенные XSS-векторы для веб-сайтов, помимо несанкционированного ввода из текстовых полей, попадающих обратно на страницы? Попытка предотвратить злонамеренный доступ к токенам csrf в файлах cookie. Я убираю небезопасные симв…
10 сен '16 в 19:20
1
ответ
Почему хорошая защита от наводнений для моего сайта перенаправляет в странных случаях?
У меня есть он после защиты от наводнений для моего сайта php: <?php if (!isset($_SESSION)) { session_start(); } // anti flood protection if ($_SESSION['last_session_request'] > time() - 2){ // users will be redirected to this page if it makes…
14 май '17 в 01:25
1
ответ
Использование "%" в качестве подстановочного знака с фильтром безопасности ESAPI
Мы используем уровень безопасности ESAPI в нашем приложении. Мы также намеренно используем символ "%" для поиска по шаблону, переданного со стороны браузера. Это плохой выбор, и он перенесен как устаревший дизайн для простого создания SQL для запуск…
08 янв '18 в 19:07
3
ответа
Разрешение манипуляции с историей кросс-сайтов
Мы разработали новое приложение, и перед перемещением изменений мы сделали статическое сканирование кода с использованием checkmarx. Существует уязвимость среднего уровня, обнаруженная в коде под названием "Манипулирование историей перекрестных сайт…
05 янв '15 в 15:38
1
ответ
Как Jsoup может чистить XSS javascripts и поддерживать некоторые HTML-теги?
Я хочу очистить некоторые строки HTML в моем приложении на Java от атак XSS с помощью Jsoup. Но я хочу иметь также <a> а также <img> теги. Возможно ли это с этой библиотекой?
20 окт '16 в 12:37
1
ответ
Python делится процессом или как сделать эффективную грубую силу
Мне нужно разделить этот процесс на 16 процессов. Я покупаю для него плату Parallela, которая имеет 16 ядер и работает на 90gflops. Я не собираюсь делать ничего противозаконного. Просто чтобы доказать мою точку зрения, что использование пароля с 7-з…
25 окт '15 в 01:21
2
ответа
Ручка украденная JWT?
Я создаю сервер nodejs с аутентификацией jwt. На данный момент мой JWTS имеет срок годности 1 месяц. Если пользователь заходит на страницу входа в систему, я проверяю, содержит ли его запрос действительный jwt, если да, ему не нужно вводить свое имя…
25 окт '18 в 17:08
1
ответ
Nodejs основан на javascript, есть ли возможность, которую пользователь может взломать код
Для моего понимания я хочу знать, существует ли вероятность того, что, поскольку NodeJS основан на JavaScript, конечный пользователь может взломать код таким образом, что это приведет к уязвимости безопасности. Я имею в виду, что NodeJS - это JavaSc…
02 апр '14 в 10:19
2
ответа
Веб-сервер: как выглядит этот запрос
Я строю веб-сервер с Python-торнадо. Сервер должен обеспечить своего рода поисковую службу по всем ресторанам в какой-либо стране. Таким образом, логика довольно проста: пользователь вводит ключевое слово и отправляет на веб-страницу, сервер отвечае…
25 июн '17 в 11:43
0
ответов
Предупреждение о межсайтовой атаке каждый раз, когда я открываю Firefox
Каждый раз, когда я открываю Firefox, я получаю эту ошибку. У меня установлен NoScript. Также нет открытых вкладок, которые имеют какое-либо отношение к этому сайту. Я попытался очистить кэш и локальный контент, но он все еще продолжает поступать. N…
20 май '18 в 13:19
1
ответ
Переплет DNS: как это работает?
Я провел некоторое исследование атак на связывание DNS и не могу понять, как происходит реальное связывание. Самым полезным ресурсом было это видео Роберта Хансена. Единственное, чего я не совсем понял: должен ли злоумышленник владеть DNS-сервером, …
21 янв '15 в 14:05
0
ответов
Injection Script, что он делает?
Работая с интернет-магазином на одной из популярных платформ, получил заказ со следующим сценарием, встроенным в несколько полей: имя, адрес и т. Д. Я пытаюсь понять, что выполняет сценарий. Я удалил любой способ для запуска на этой странице, я наде…
04 апр '18 в 14:00
0
ответов
Как настроить сценарий Pass-the-Hash
Я хочу попробовать использовать аттестацию с использованием хеша для окон (для меня было бы вполне достаточно, если бы мне удалось воспроизвести этот учебник: https://cqureacademy.com/blog/identity-theft-protection/pass-hash-atdwoutack-tutorial) Нас…
07 май '18 в 05:25
1
ответ
Должен ли я хранить все сгенерированные UUIDv4 токены носителя oAuth2 в моей базе данных, чтобы предотвратить атаку?
Я генерирую oauth2-доступ, обновляю токены и сохраняю их в своей базе данных. Я генерирую эти токены, используя UUID v4, и удаляю тире. Раньше я удалял токены после истечения срока их действия, но теперь я храню их все, потому что я думал о том, что…
12 май '14 в 04:44
1
ответ
Как предотвратить отладку кода клиентами в javascript с помощью инструмента разработчика
У нас есть приложение angularjs, где у нас разные роли, связанные с пользователями. Например: две роли: администратор и местный. В зависимости от роли мы показываем некоторые пункты меню для администратора и добавляем дополнительные функции / экран …
23 ноя '16 в 09:02
1
ответ
Что именно означает "взаимодействие внешних служб", о котором сообщает Burp Suite?
После запуска Burp Security Suite в нашем веб-приложении у меня появляется проблема типа "Взаимодействие с внешними сервисами" на странице, где есть текстовое поле для получения адресов электронной почты. Думайте об этом, как о приглашении других лю…
15 окт '17 в 11:23
2
ответа
Javascript внедряется во все друпальные сайты сервера
За последние несколько дней мои сайты подвергались злонамеренным атакам. Когда я открываю сайт http://site1.com/ он сначала перенаправляется на другую страницу (возможно, на рекламную страницу). В браузере Chrome, когда я пытаюсь диагностировать про…
02 май '18 в 05:09
3
ответа
Разрешение клиентской кросс-фреймовой атаки
Мы разработали новое приложение, и перед перемещением изменений мы сделали статическое сканирование кода с использованием checkmarx. Существует уязвимость среднего уровня, которая обнаружена в коде, называемом Client Cross Frame Scripting Attack. Эт…
05 янв '15 в 15:31