Devo fornire la prova che CSRF o XSS è possibile su un telefono ... utilizzando PhoneGap, una Webview, o in particolare una "Scheda Chrome" o equivalente iOS.
Credo che in teoria sia possibile, e la mitigazione è necessaria, ma stiamo cercand...
Con l'introduzione dell'intestazione X-XSS-Protection HTTP mi sembra che l'impatto sulla vulnerabilità (leggi: quantità di utenti potenzialmente interessati con i browser moderni) sia drasticamente ridotto.
In primo luogo, questo signifi...
È sufficiente convertire ' in ' , > in > e < in < per evitare XSS quando si inseriscono dati non affidabili in una stringa JavaScript come sotto?
<script>
param='payload';
</sc...
Ho letto in diversi blog che la funzione% di% di% di file% ha alcuni problemi quando uno non fornisce il set di caratteri previsto come parametro facoltativo.
Qualcuno può spiegare alcune cose di base sugli exploit XSS derivanti dall'uso erra...
Quando si dispone di un editor di testo avanzato su un'applicazione Web, qual è il modo migliore per sfuggire alle entità HTML e prevenire gli attacchi XSS mantenendo la formattazione ( <b> , <i> , <u> , ... ecc.)...
Il CSP viene applicato solo durante il rendering iniziale, ovvero non esiste una copertura continua dopo il caricamento del documento? Ecco un esempio di ciò di cui sto parlando:
Diciamo che la tua pagina, example.com , ha qualche JS che...
Il foglio Cheat di prevenzione XSS OWASP contiene un elenco di posizioni in cui i dati non attendibili non dovrebbero mai essere mettere:
<script>...NEVER PUT UNTRUSTED DATA HERE...</script> directly in a script
<!--...N...
Sto cercando alcuni consigli standard su come integrare JavaScript esterno in un sito web. Ad esempio, in mywebsite.com :
<script src='//externalsite.com/js/script.js'></script>
Il fatto è che se externalsite.com viene...
Situazione molto frustrante su un pentest che sto facendo attualmente - Ho trovato un posto dove posso iniettare quasi tutti i caratteri in un pezzo di javascript da un parametro.
Ma gli sviluppatori web sembrano fortunati: il codice che poss...
Ho un editor di contenuti in un'applicazione web che consente agli amministratori di aggiungere e modificare contenuti in determinate aree dell'applicazione.
Il componente editor che ho usato rimuove automaticamente qualsiasi tag di script, e...