javascript – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 28, 2018

TLS – اعتبار سرویس گیرنده / سرور پس از تأیید اعتبار از طریق HTTPS و سپس به متن ساده؟

آیا می توان یک اتصال امن برای متن ساده را در حین حفظ یک اتصال اعتماد کرد.

نه، غیرممکن است. در متن واضح، این هیچ راهی برای سرور برای جلوگیری از تغییر داده ها در هر جهت نیست.

از آنجا که سرور منبع محدود در قسمت محاسبات است، من می خواهم به یک اتصال رمزگذاری نشده برای بازی داده شود. [19659002TLSدیگرمنابعفشردهنیستاگراینواقعانگرانیاست،شمامیتوانیدرمزگذاریTLSرابهسروریاسرویسدیگریمانندCloudflareبفرستیداماهردستگاهVPSیامجازیمیتواندبهراحتیTLSرامدیریتکنداگرسرورشمانمیتواندTLSرامدیریتکند،مطمئنانمیتواندحتییکقسمتکوچکیازمنطقبازیخودراادارهکند

از آنجا که من قبلا نمی توانم به مشتری اعتماد کنم (همانطور که در جاوااسکریپت نوشته شده است)

شما نمی توانید به مشتری اعتماد کنید، مهم نیست چه زبان، فنآوری یا چارچوبی که استفاده میکنید حتی اگر مشتری شما در داخل ASIC اجرا شود، نباید از داده های مشتری اطمینان داشته باشید.

اگر تجارت از طریق یک سری از DAPPS اجرا شود

انجام ندهید. DAPPS برای توسعه سخت است، نگهداری بسیار دشوار است و هیچ مشکلی را حل نمی کند. به استثنای اینکه می خواهید پول بازیکنان را از دست بدهید، به کسی که تجربه و اعتبار دارد را برای توسعه این توابع برای شما پرداخت کنید. سعی نکنید تمام کارهای خودتان را انجام دهید یا زمان، پول و اعتبار خود را از دست می دهید. یا پرداخت کسی را که برای شما انجام می دهد یا پول واقعی را شامل نمی شود.

سپتامبر 12, 2018

محیط های Sandbox که تجزیه و تحلیل کد کد جاوا اسکریپت را انجام می دهند؟

آیا هیچ محیط ساندویچ وجود دارد که تجزیه و تحلیل در کد جاوا اسکریپت obfuscated انجام می شود؟

به عنوان مثال، من یک تکه کد JS obfuscated را اجرا میکنم که به طور کامل اجرا میشود، اما برای un-obfuscate غیرممکن است (آن را در چند سایت بسیار سعی کردم).

من می خواهم بدانم که چه متغیرهایی توسط این و چه عملیاتی بر روی داده های انجام شده انجام شده است.

آیا این امکان دارد؟

برای آنهایی که از شما میپرسند کد:

سپتامبر 7, 2018

جاوا اسکریپت – چطور می توان یک کلید API را از طرف مشتری ایجاد کرد؟

من یک مسئله دارم و خیلی مطمئن هستم که من در مورد آن نیستم.
من امیدوارم که چند راه عالی داشته باشم، امیدوارم ضد گلوله، برای جلوگیری از هر گونه مسائل، پس در اینجا این است.

من یک API ارائه می دهم که از طریق درخواست POST HTML را به PDF تبدیل می کند. هنگامی که مشتری من تبدیل می کند، آنها یک کلید API برای تأیید اعتبار آنها فراهم می کنند. تا کنون خیلی خوب است.

من فکر میکنم راهی برای اجازه دادن به این مشتریان برای انجام تبدیل به طور مستقیم از داخل مرورگر سرویس گیرنده خود، در جاوااسکریپت است.

حالا این امکان وجود دارد با انجام جاوااسکریپت XHR POST درخواست از جمله کلید API، اما مسئله امنیتی بزرگ در اینجا این است که کلید API آنها در معرض عموم است و بنابراین می تواند مورد سوء استفاده قرار گیرد.

سوال من ساده است:

چگونه می توانم امکان ارائه اسناد را مستقیما در داخل مرورگر بدون آسیب رساندن به حساب خود از طریق کلید API؟

بهترین ایده من تا کنون این است که اجازه دهم مشتریم چندین کلید API را ایجاد کند و آمار مربوط به تعداد چند تبدیل از آن کلید داشته باشد. علاوه بر این، آنها می توانند نشان دهند که کدام دامنه برای این کلید کار می کند، محدود کردن استفاده به یک دامنه خاص (مجموعه ای از) دامنه ها.

اما من می دانم که این یک گلوله نیست زیرا هر کدوم می تواند ارزش میزبان را در درخواست و دور زدن این "امنیت"

چگونه می توانم امنیت را در حین ارائه قابلیت ظاهری افزایش دهم؟

با تشکر از کمک شما

آگوست 26, 2018

برنامه وب – اگر رجیسترهای غیرقابل اعتماد از طرف سرور کنار گذاشته شوند، اگر از طریق document.createTextNode به داخل سند وارد شوند؟

Webapp چت. مشتریان (یعنی مرورگرهای وب) پیام هایی را به سرور ارسال می کنند که سرور آن را به تمام مشتریان مرتبط متصل می کند. کد مشتری به نظر می رسد مانند:

 اجازه دهید p = document.createTextNode ('p')
p.appendChild (document.createTextNode (پیام))
document.getElementById ('chatbox') appendChild (p)

از کجا پیام رشته دریافت شده از سرور است

مشکل در اینجا این است که به شدت توصیه میشود که داده های غیر قابل اطمینان سرور را ضدعفونی کنید تا قبل از قرار دادن آن درون سند با حذف شخصیت های خاص <، > ، ، و غیره) و جایگزینی آنها با نهادهای HTML مناسب است. به من گفته شد کد بالا برای XSS آسیب پذیر است اگر این ، ، ، ، ، ، کاراکترهای ویژه verbatim را نمایش می دهد و را نمی بینند و آنها را به صورت HTML می بینند. بنابراین ضدعفونی کردن سرور، تغییر کاراکترهای فوق به موجودات HTML باعث خواهد شد که مشتریان، نه شخصیت هایی که انسان ها قرار دارند


 به این ترتیب من اعتقاد ندارم که چنین اعتبار لازم است و درست نیست زمانی که  document.createTextNode ()  استفاده می شود. 
 با این حال، به من گفته شد که همیشه لازم است برای رفع نواقص سرور رشته ها. به من گفته شد که فرار از این صفات سرور  همیشه  ضروری است. در این صورت، من قصد داشتم از استفاده از  document.createTextNode ()  استفاده نکنم و به جای آن از  innerHTML  استفاده کنم؟ این به نظر من عجیب و غریب به نظر می رسد زیرا من همیشه فکر  innerHTML  را به عنوان یکی از  حداقل  ویژگی های امنیتی جاوا اسکریپت می دانم که نباید با محتوای نامعتبر استفاده شود.




		
		نوشته‌شده در آگوست 26, 2018
جاوا اسکریپت – کدام شخصیت ها باید فرار کنند یا جایگزین شوند تا حملات تماس تلفنی xss jsonp جلوگیری شود؟
	


	
	
		

 به نظر می رسد که شما از چارچوب ارائه دهنده خدمات پرسیدید، در این صورت پاسخ ساده است: 
 به عنوان ارائه دهنده خدمات، شما نمی توانید از XSS در برابر همه محافظت کنید، و شما نیز ممکن نیست 
 به خاطر داشته باشید، من معمولا در "دفاع در عمق" بزرگ و قرار دادن در دیوارهای امنیتی در هر مرحله از راه است. با این حال من فکر می کنم این به معنای واقعی کلمه یکی از مکان هایی است که نگرانی شما در مورد آن نگران کننده نیست. دو دلیل وجود دارد: 
 1. با استفاده عادی، مشتری اجرای کامل کنترل درخواست را دارد، و بنابراین هیچ دلیلی برای انتظار بارهای بارز مانند این وجود ندارد 
 در مورد این واقعا نمی توان گفت خیلی بیشتر است، زیرا این چیزی نیست که شما در مورد آن نگران هستید. اما فقط بگو با صدای بلند: مشتری خود را ارائه تماس تلفنی JSONP، و بنابراین اگر آنها را انتخاب کنید از شما درخواست بازگشت جاوا اسکریپت واقعی، پس از آن است که دلیل زیادی برای شما وجود دارد که آنها را متوقف کند (به خصوص از آنجا که انجام این کار خواهد بود احمقانه و متاسفم که هر کسی زحمت میکشد) تنها زمانی که کسی ممکن است درخواست "خطرناک" را از سرور خود درخواست کند، این است که اگر مشتری از راه دور نقص XSS داشته باشد و جاوا اسکریپت مخرب سیستم خود را گرفته است. با این حال، اگر چنین اتفاقی بیفتد: 
 2. جاوا اسکریپت مخرب دارای کنترل کامل بر روی سرویس گیرنده از راه دور است و نیازی به اجرای جاوا اسکریپت دلخواه را ندارد 
 که به همان اندازه ساده است: اگر مهاجم یک حمله XSS را علیه یک مشتری با استفاده از سرویس خود مدیریت کرده باشد، لازم نیست جاوا اسکریپت مخرب را به callback تزریق می کند. آنها فقط می توانند روش Callback را در سرویس گیرنده محلی خود جایگزین کنند. در واقع، این بسیار ساده تر است. به عنوان یک نتیجه، به معنای واقعی کلمه هیچ دلیلی وجود ندارد که چرا کسی به دنبال استفاده از خدمات شما به عنوان یک نقطه پایانی تزریق XSS به مشتری از راه دور است. برای قرار دادن آن به سادگی: 
 اگر یک مهاجم یک حمله XSS علیه یک مشتری را با استفاده از سرویس خود مدیریت کرده است، پس از آن آنها قبلا برنده شده اند و هیچ دلیلی برای انتقال بارهای XSS به سرویس شما نیستند. این فقط بازتاب صفحه ای است که قبلا گرفته شده است. 
 من فکر می کنم ممکن است برخی از توسعه دهندگان وجود داشته باشد که با برخی از طرح های دیوانه (خطرناک) مطرح شده اند که در آن، ورودی کاربر در سایت آنها برای ساختن پاسخ فراخوان JSONP منتقل می شود به سرویس شما، و آن را به ضعف آسیب پذیری XSS درجه اول می شود. با این حال، هیچ دلیلی عملی وجود ندارد که چرا کسی هرگز چنین چیزی را انجام دهد (با استفاده از بسیاری از این نوع خدمات خودم، شما باید از راه خود برای راه اندازی چیزهایی که خطرناک است)، تا آنجا که من فکر می کنم ارزش صرف وقت خود را صرف تلاش برای محافظت از کاربران خود را از آن سطح silliness. شما بیشتر احتمال دارد به طور تصادفی عوارض جانبی منفی را به کاربران معمولی خود اضافه کنید تا از کسی محافظت کنید تا سطح برنامه ریزی ضعیف که لازم باشد برای این حفاظت در پایان شما انجام شود. 

 
	


	


	
		راهبری نوشته‌ها
		برگه 1
برگه 2
…
برگه 7
برگه بعدی