Utilizziamo un client di posta elettronica basato su browser e il contenuto dell'email è in HTML.
Uno dei miei datori di lavoro ci ha detto che se riceviamo un'e-mail sospetta con collegamenti, dobbiamo passare il mouse sul link (per verifica...
Ho fatto alcuni test e ho scoperto che un dump di memoria di Chrome non contiene la password di gmail.com/Google dopo l'accesso a quel sito (l'accesso avviene su accounts.google.com).
(Il mio sistema è Windows 10 64bit Professional, Chrome 60...
Supponiamo che abbia un sito Web con il seguente codice:
<input type="text" id="search-text" name="query" value="?" />
Le virgolette doppie non sono sottoposte a escape, quindi posso uscire dall'attributo value, tuttavia, non posso ro...
GitHub spiega il problema con img-src in
"Viaggio post-CSP di GitHub" :
A tag with an unclosed quote will capture all output up to the next
matching quote. This could include security sensitive content on the
pages such as:
&...
Recentemente ho appreso che le immagini SVG (Scalable Vector Graphics) introducono una serie di opportunità per attacchi sottili sul web. (Vedere la carta di seguito.) Mentre le immagini SVG possono apparire come un'immagine, il formato del file...
Nei consigli OWASP relativi a utilizzo di escape dell'input non affidabile per il contenuto dell'elemento HTML , elencano quanto segue:
& --> &
< --> <
> --> >
" --> "
' --> '...
Mi dispiace se questa è una domanda troppo banale, ma una volta mi è stato detto che solo un pazzo è sicuro di qualsiasi cosa: poiché non sono sicuro di questa domanda, sono disposto a rischiare il collo chiedendolo comunque, tutto nel nome dell...
Vorrei incorporare un iframe da un sito non affidabile in un'applicazione web. Iframe:
dovrebbe essere in grado di eseguire i plugin Javascript e del browser (Flash, ecc.)
non dovrebbe essere in grado di accedere alla mia applicazione web...
Django (il framework web Python) scappa l'output per prevenire gli attacchi XSS (Cross Site Scripting). Sostituisce ' , " , < , > , & con le loro versioni HTML sicure.
Tuttavia questa presentazione sulla diapos...
Mi sembra che, poiché gli utenti possono inserire domande e commenti al loro interno con markup HTML (possibilmente tag <script> ), i siti Stack Exchange sarebbero molto esposti agli attacchi XSS. Come proteggono da questo?