Le migliori xss

1

risposta

È Request.getHeader ("host") vulnerabile?

Se il seguente è lo snippet di codice, quali sarebbero i tuoi suggerimenti? <script type="text/javascript" src="<%=request.getHeader("Host")%>/XXX/xxx.js"></script> Questo è un chiaro esempio di XSS? In caso affermativ...

posta 20.12.2011 - 12:16

1

risposta

Qual è il vantaggio di X-XSS-Protection: 0 header in un ambiente di produzione?

X-XSS-Protection è un'intestazione non standard ma ampiamente utilizzata che indica ai browser di abilitare o disabilitare la protezione incorporata dagli attacchi XSS riflessi. La maggior parte dei siti web che visito inviano X-XSS-Pr...

posta 03.11.2015 - 21:18

3

risposte

Come convincere il compagno di squadra a utilizzare una whitelist?

Contesto Nel nostro team di sviluppo, dobbiamo costruire un componente. Questo componente è uno lato client completo scritto in Javascript. Un'applicazione web client che desideri incorporare questo componente lo chiamerà come di seguito:...

posta 03.12.2015 - 16:06

2

risposte

L'attributo XSS attraverso lo stile è possibile nei browser moderni?

Diciamo che gli utenti possono definire il contenuto dell'attributo style , ma in modo limitato. Non possono uscire dal suo valore, poiché un parser con elenchi in bianco rimuoverà tutti gli attributi / tag non sicuri prodotti in questo modo...

posta 10.06.2014 - 13:19

3

risposte

Protezione CSRF su pagine statiche

Ho un sito statico con form. I moduli vengono inviati a un endpoint di Rails che acquisisce i dati inviati. Il sito statico e l'endpoint Rails si trovano sullo stesso dominio, su sottodomini diversi e tutto il traffico è completamente su HTTPS....

posta 29.10.2012 - 12:24

1

risposta

Attacchi di intestazione host

Quindi leggendo questo post del blog , so come la password resettare funziona e come è sfruttabile, ma in uno scenario reale, come sarebbe possibile l'XSS? C'è un modo per inviare una vittima a una pagina con l'intestazione host modificata?...

posta 07.01.2014 - 23:46

1

risposta

XSS JavaScript Stringa a doppia citazione con codice HTML escape Possibile?

È possibile iniettare XSS in una variabile JavaScript se un sito Web inserisce HTML codificato, l'input dell'utente in una stringa doppia citata? var userString = "perfectly "safe" input from user?";

posta 26.06.2013 - 23:38

2

risposte

Presentazione su Web App Security (capitolo degli studenti ACM)

Sono un membro del locale capitolo degli studenti ACM nella mia università e, come parte delle nostre attività, sono in programma di tenere un discorso sui problemi attuali relativi alla sicurezza delle applicazioni Web (e possibilmente su misur...

posta 22.12.2011 - 05:58

1

risposta

Come faccio a sandbox utente JS senza utilizzare una VM, un transpiler o un'API basata sulla whitelist?

Ho svolto le mie ricerche e ci sono alcuni modi efficaci per JS di sandbox, ovvero: Utilizzare un JS VM che esegue il JS utilizzando un modulo sandbox di js, come VM.js Utilizza un transpiler come Google Caja, che aggiunge ulteriori cont...

posta 01.09.2016 - 07:28

1

risposta

Prevenzione di XSS in SVG

Attualmente valutando un'applicazione, ho scoperto che è possibile inviare un riempimento SVG contenente Javascript (l'app è vulnerabile anche a XXE). Mi chiedevo se esistesse un metodo per prevenire tali vulnerabilità e proteggere il modulo di...

posta 16.01.2017 - 11:40

Domande con tag 'xss'