Domande con tag 'xss'

domande con tag
2
risposte

Libro moderno, attento alla sicurezza, in PHP?

Dopo aver creato un semplice sistema di login e provato a proteggerlo da cose come SQL injection, Session Hijacking, XSS, ecc., ho scoperto che mi piace molto fare questo tipo di cose. Mi piacerebbe prendere un libro e approfondire tutti i detta...
posta 17.07.2013 - 17:41
1
risposta

Modo corretto di proteggere da XSS, quando l'output è direttamente in JS non HTML?

Sto vedendo un sacco di esempi quando l'output è diretto all'HTML, ma sto vedendo informazioni più contrastanti quando l'output sta andando direttamente in JS. Ad esempio se il codice era: var thisIsATest = '<?php echo $_GET['a']; ?>'...
posta 09.01.2016 - 00:41
2
risposte

Limita JS in SVG

Qualcuno sa di un modo per impedire a JS di girare all'interno di un SVG o di estrarre JS da un SVG? Nel mio caso d'uso preferirei mantenere l'immagine come SVG e non convertirla in JPG. Ho pensato di rimuovere i tag script e gli attributi on, m...
posta 12.01.2018 - 09:16
3
risposte

Favicon Reindirizzamento Possibile difetto di sicurezza

Ho il dominio example.com Quando inserisco l'URL link , Chrome carica la pagina e tenta anche di caricare link e tale richiesta riceve un reindirizzamento 301 a ** http: //**main.example.com e ne riceve il contenuto HTML. So come risolv...
posta 07.05.2015 - 15:29
1
risposta

Come faccio a incorporare in modo sicuro un tag img utilizzando un URL fornito dall'utente?

Se ipoteticamente volessi consentire agli utenti di utilizzare un avatar da un URL arbitrario come questo: <img class="avatar" src="{user input}" /> Ci sono molti problemi che posso pensare: Ci sono data uris quindi pot...
posta 11.05.2015 - 15:41
4
risposte

Che cos'è un buon browser per il test delle penne delle applicazioni Web? [chiuso]

Ho iniziato a testare le applicazioni web e ho difficoltà a verificare le vulnerabilità. Sembra che tutti i browser moderni abbiano protezioni contro cose come XSS. Quando qualcosa come Burp trova una vulnerabilità XSS, non posso verificar...
posta 25.08.2014 - 11:18
4
risposte

Cosa fa scorecardsresearch.com/beacon.js - aggiunto da Disqus.com - fare?

Recentemente ho aggiunto Disqus al mio sito. Guardando la scheda "script" su Firebug, ho notato uno script chiamato, link ( qui è una versione utile - lo script non è accessibile direttamente tramite l'url fornito). Che cosa fa beacon.js?...
posta 24.12.2012 - 04:47
4
risposte

Escaping costanti JavaScript

come possono essere inclusi i valori non attendibili in una pagina html come costanti stringa javascript? Anche se il caso che sto chiedendo usa JSF e Rails, penso che questo sia un problema generale indipendente dal framework lato server. on...
posta 23.12.2010 - 19:53
3
risposte

Test dell'iniezione di moduli PHP

Sto scrivendo una piccola app per PHP che accetta l'input tramite un modulo. Come prevedibile per una prima revisione, il codice non esegue l'escape o la sanificazione dell'input: if( $_POST["var"] != "" ) { print "Current value: ".$_POST[...
posta 17.02.2011 - 01:48
4
risposte

ModSecurity di default protegge abbastanza contro XSS?

Sono passati alcuni anni da quando ho iniziato a trafficare con la modsecurity ... Semplicemente installando il pacchetto con le regole predefinite fornirai una validazione sufficiente a prevenire qualsiasi (okay, siamo onesti - meglio possia...
posta 10.04.2011 - 12:50