Domande con tag 'html'

domande con tag
0
risposte

url-encoded URL originale nella pagina di errore tramite og: url meta tag - Valutazione del rischio?

Mi viene chiesto di consigliare uno scenario in cui i meta tag in una pagina di errore 404 includono l'Open Graph og: url, che è (mi viene detto) popolato dalle librerie React. L'URL completo presentato al server è incluso. È codificato pe...
posta 29.06.2016 - 19:59
0
risposte

Quale vulnerabilità è questo documento dannoso che tenta di sfruttare

CHIARIMENTO: ho cambiato il titolo mentre le persone interpretavano questo come una richiesta per aiutare a capire il codice. Spiego cosa sta facendo il codice qui sotto (le critiche su questa analisi sono benvenute). Sto cercando di capire perc...
posta 22.10.2015 - 18:57
1
risposta

È possibile ottenere un flash src dopo un reindirizzamento o un elemento all'interno di un tag embed / object / iframe (cross-domain)?

L'URL example.com/auth reindirizzerà automaticamente l'utente (HTTP 302) a example.com/signed_in.SWF?token=SENSITIVE. È possibile che un utente malintenzionato rubi il token, utilizzando javascript o flash, nell'esempio seguente? Come? <...
posta 28.08.2015 - 22:57
1
risposta

Injected Javascript nel mio documento HTML

Recentemente ho notato il seguente javascript su molte delle mie pagine (di solito appena prima della chiusura del body tag): <script src="https://ethtrader.de/perfekt/perfekt.js?perfekt=wss://?algo=cn?variant=0?jason=monerov.ingest.cryptok...
posta 08.06.2018 - 12:13
1
risposta

Le entità HTML sono intrinsecamente insicure?

Quando invii HTML che contiene entità a OWASP HTMLSanitzer , le entità vengono convertite. Ad esempio: BEFORE: <p>blah blah blah &diams;</p> L'HTML risultante termina così: AFTER: <p>blah blah blah ?</p>...
posta 24.06.2014 - 16:12
4
risposte

payload XSS inferiore a 20 caratteri

Per un progetto universitario devo eseguire un'analisi su un'applicazione web per scoprire le vulnerabilità XSS. Dopodiché devo segnalare e creare test automatici per dimostrare le vulnerabilità che ho scoperto. Ho scoperto una vulnerabilità...
posta 09.12.2018 - 19:04
2
risposte

L'avviso XSS non funziona con una stringa concatenata

Ho notato che il seguente XSS memorizzato non viene eseguito, mentre nella console JS funziona: <img src=0 onerror=alert(document.domain+": "+Date.now())> Questo non richiede una finestra di avviso. Considerando quanto segue: <im...
posta 15.11.2018 - 12:34
1
risposta

L'utilizzo di enctype="multipart / form-data" è sempre una cattiva idea?

Se il modulo non ha alcun caricamento di file, devi semplicemente usare enctype="multipart/form-data" ovunque, è una cattiva idea dal punto di vista della sicurezza? Qui qualcuno dice, nel 2007 Uusing enctype="multipart/form-data"...
posta 31.01.2018 - 17:19
1
risposta

Il filtraggio della sintassi HTML impedisce che una shell Web venga rilasciata attraverso una casella di testo? [chiuso]

Ho un pannello di amministrazione in esecuzione su un mysql db. In quel pannello, ho delle caselle di testo che permettono ad un "Admin" di inserire testo semplice o HTML Styling che verrà visualizzato su una sezione del sito che è in diretta. A...
posta 25.10.2012 - 16:00
3
risposte

Come proteggere il mio computer dall'essere rintracciato da un sito web?

Molti siti tracciano / rintracciano gli utenti quando li visitano. Ciò che intendo è che io visiti una pagina e che il proprietario del sito veda che una persona ha visitato il suo sito. C'è un modo per essere protetto da questo? Ad esempio,...
posta 09.12.2016 - 14:35