Domande con tag 'dom'

domande con tag
0
risposte

È sicuro usare DOMParser per analizzare i file XML lato client?

Alcuni framework o librerie JavaScript utilizzano l'API DOMParser per analizzare i file XML dal client. È sicuro farlo? Il codice dannoso può essere facilmente incorporato nel file XML (nella definizione dei nodi o dei loro attributi). DO...
posta 19.05.2016 - 19:22
2
risposte

Perché questo attacco XSS non funziona?

Ho un sito con il seguente javascript in esecuzione: var t=location.hash.slice(1); $("div[id="+t+"]").text("The DOM is now loaded and can be manipulated."); Stavo pensando che se ho aggiunto il seguente all'URL: #message]");alert('test');...
posta 18.09.2014 - 23:37
2
risposte

Il payload per XSS basato su DOM è definito come originato solo all'interno del browser o anche all'esterno di esso

Ho letto in più punti viste contraddittorie su ciò che potrebbe essere considerato un XSS basato su DOM. Sembra che la definizione originale indichi che si tratta di una forma di XSS in cui il carico utile proviene esclusivamente dall'interno de...
posta 31.07.2016 - 08:26
1
risposta

Fa eco i parametri GET in un tag script riflesso o XSS basato su DOM?

Sto facendo fatica a capire se il seguente potrebbe essere considerato come un XSS basato su DOM o XSS riflesso e speravo che qualcuno potesse aiutarmi a distinguere la differenza. Immagina il seguente scenario: Immagina che un sito abbi...
posta 02.07.2016 - 01:54
3
risposte

Questo codice JavaScript è vulnerabile agli XSS basati su DOM?

Ho un codice JS sotto che sta reindirizzando verso una posizione presa da un modulo HTML. È vulnerabile a un attacco come XSS basato su DOM? document.theform.reference.onchange = function(){ var id = document.theform.reference.selectedInde...
posta 30.07.2015 - 15:08
1
risposta

exploit document.write con input utente non criticato

Sto provando a inserire javascript in un file script js ma non funziona. Ho la seguente configurazione: file html con javascript-file include (tutto inline js è bloccato!) Welcome, <script src="js/domxss.js" type="text/javascript">...
posta 02.03.2014 - 20:31
1
risposta

In che modo i browser gestiscono document.write in questo caso XSS basato su DOM?

OWASP cita il seguente esempio di codice vulnerabile a un attacco XSS basato su DOM: Select your language: <select><script> document.write("<OPTION value=1>"+document.location.href.substring(document.location.href.i...
posta 11.05.2018 - 01:12
2
risposte

XSS al di fuori del DOM

Ho il seguente JS (usando jQuery per brevità, ma non è necessario per la domanda): $("<i></i>").html(userInput); È possibile che qualcuno inserisca una stringa, userInput, in modo tale da eseguire correttamente un attacco XSS?...
posta 03.02.2015 - 23:59
1
risposta

Questo codice è vulnerabile all'XSS basato su DOM animato da jQuery? [duplicare]

Questo codice è vulnerabile agli XSS basati su DOM? L'applicazione utilizza jQuery 1.12.4 e ho notato che i dati vengono letti da window.location.hash e passati a $ () tramite le seguenti dichiarazioni: var target_ = window.location.hash....
posta 22.12.2018 - 02:09
0
risposte

Bypassare il doppio preventivo in XSS basato su DOM?

Sto provando a generare un POC per l'exploit DOM XSS. Potrei iniettare un codice usando il seguente link: <a href="wepage.jsp" target='&quot;><script> alert(document.cookie)</script></div>'>domxss</a> Il...
posta 04.10.2018 - 12:06