• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Metody wysyłania danych w kodzie html+js

VPS Starter Arubacloud
0 głosów
196 wizyt
pytanie zadane 23 marca 2018 w Bezpieczeństwo, hacking przez mr_robot13 Nowicjusz (120 p.)

Potrzebuję upewnić się czy generator haseł https://haslowygaslo.pl/ działa offline i czy nie wysyła generowanych haseł przez internet.

W tym celu chciałbym poznać wszystkie metody jakie można zastosować w kodzie html+js żeby móc wysyłać informacje online.

Chodzi mi o słowa klucze, które mogę łatwo znaleźć i sobie samemu sprawdzić taką aplikację. Mniej więcej wiem że

np "xhttp" (js) lub "form + action" (html) służą do wysyłania.

Ale może są jeszcze jakieś inne możliwości?

 

3 odpowiedzi

0 głosów
odpowiedź 23 marca 2018 przez Neronys Bywalec (2,090 p.)
$.ajax, post,get, url, $.load
komentarz 23 marca 2018 przez mr_robot13 Nowicjusz (120 p.)
sam "url" moze realnie wskazywać na niebezpieczeństwo wysyłki danych?

zastanawiam się w jaki sposób... czy aplikacja może w tle stworzyć url i go uruchomić, kliknąć tak żeby użytkownik nie zauważył?

poza tym chyba możemy podzielić tutaj na 2 zagadnienia - używanie dodatkowych bilbiotek, bo $.ajax to chyba jquery? oraz czysty kod js + html bez dodatkowych bibliotek ?
0 głosów
odpowiedź 23 marca 2018 przez Comandeer Guru (599,730 p.)

Nie da się wymienić wszystkich tak po prawdzie. Bo wystarczy zrobić link[rel=prefetch] i już poleciało w świat, a Ty nie masz o tym pojęcia. Masz XHR, Fetch, sockety, iframe, obrazki, pliki multimedialne, JSONp, różne link, Beacon API, workery, formularze…

komentarz 23 marca 2018 przez mr_robot13 Nowicjusz (120 p.)
tzn nie ma skończonej listy metod? liczyłem na to że max 5 :)
komentarz 23 marca 2018 przez Comandeer Guru (599,730 p.)
Nie ma skończonej listy.
0 głosów
odpowiedź 23 marca 2018 przez niezalogowany

Można przyjąć, że takich kombinacji jest nieskończenie wiele. Wystarczy obfuskacja kodu.

Włącz devtoolsy, obserwuj co dzieje się w zakładce network. Zawsze możesz przełączyć stronę w tryb offline.

komentarz 23 marca 2018 przez mr_robot13 Nowicjusz (120 p.)
ok czyli w zasadzie nie da się tego sprawdzić nie czytając całej struktury logicznej kodu?

po samym zachowaniu aplikacji bym nie stwierdzał, bo może mieć jakieś warunki czasowe na przykład i w okienku w którym testuję może nic nie wyjść...

wiec albo skończona lista metod albo analiza logiki całęgo kodu :/
komentarz 23 marca 2018 przez niezalogowany
Wygląda na to, że pozostaje analiza całego kodu.

Nie wiem co kombinujesz, ale prawdopodobnie są dwie możliwości:

1) Chcesz bezpiecznie wygenerować sobie hasło - wtedy załaduj stronę -> przejdź w tryb offline -> wygeneruj hasło
2) Chcesz udowodnić, że przesyłają hasła dalej -> Jeśli przesyłają, prędzej czy później zobaczysz to w networku.
komentarz 23 marca 2018 przez mr_robot13 Nowicjusz (120 p.)
Co kombinuję - chciałem poznać uniwersalną i prostą metodę sprawdzenia kodu pod względem wysyłania danych przez aplikację w celu zasugerowania użytkownikom metody weryfikacji aplikacji.

Szkoda że nie ma listy takich rzeczy, można by napisać apkę która skanuje dowolny kod js pod tym kątem i udowadnia czy kod jest ok czy nie.

Przechodzenie w tryb offline odpada - manualna powtarzalna akcja, w końcu popełnisz błąd, więc jeśli nie ufasz aplikacji lepiej jej nie używać. Rozwiązanie nieuniwersalne. Błędy z hasłami mogą sporo kosztować.

Czatowanie czy apka w końcu coś wyśle to strata czasu = rozwiązanie nieuniwersalne. A jak w końcu coś wyślę to mam zmieniać wszystkie hasła? :)

Chyba pozostanie mi tylko prośba o peer review i publikację takiego...

Podobne pytania

0 głosów
1 odpowiedź 699 wizyt
0 głosów
1 odpowiedź 86 wizyt

92,454 zapytań

141,263 odpowiedzi

319,099 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...