Le migliori xss

1

risposta

javascript: gli URL che iniziano con // consentono XSS?

Ho trovato un processore di markup che consente agli utenti di includere collegamenti arbitrari, a condizione che contengano un " netloc "( // dopo il primo : ). A causa di miriade di sfruttabile protocollo

posta 05.02.2013 - 18:35

2

risposte

Avviso di Facebook su self-xss

Mi è capitato di aprire la mia console del browser su Facebook di recente e sono stato accolto con il seguente messaggio. Stop! This is a browser feature intended for developers. If someone told you to copy and paste something here to...

posta 25.04.2017 - 18:09

1

risposta

Questo auto-XSS può essere esteso?

Ho una casella di testo che effettua una chiamata a un'API ogni volta che il testo è cambiato. L'API restituisce JSON ma esegue qualsiasi Javascript all'interno del JSON restituito (testato con Alert ()). Questo valore di casella di testo non è...

posta 23.11.2016 - 17:42

1

risposta

Il noreferrer è abbastanza per proteggere i collegamenti?

L'uso di noreferrer è sufficiente per i link che utilizzano target="_blank" per evitare tabnabbing inverso Per il contesto, ecco una spiegazione del problema: "Target = _blank - la vulnerabilità più sottovalutata di sempre"...

posta 16.06.2018 - 00:18

1

risposta

Quali sono i rischi di accettare il parametro URL per il reindirizzamento automatico?

Qualcuno può nominare tutti i rischi del seguente scenario: L'utente visita una pagina, ma la sua sessione è scaduta, quindi viene reindirizzato automaticamente alla pagina di accesso con la sua pagina precedente e params aggiunti come parame...

posta 30.08.2014 - 17:06

1

risposta

Come dovrei mitigare le vulnerabilità XSS in KnockoutJS descritte alla sicurezza dei baffi?

Il sito Moustache-Security descrive le vulnerabilità XSS in KnockoutJS ... Le vulnerabilità derivano da l'uso di eval (o qualche equivalente) per convertire il testo nell'attributo data-bind in script eseguibile. La maggior parte degli esempi...

posta 17.06.2014 - 17:34

1

risposta

C'è qualche pericolo nel pulsante di anteprima nei blog?

Nel mio blog Wordpress (anche se questo potrebbe essere vero anche per altri blog), esiste una funzionalità di anteprima della pagina Web. Quindi quando ottengo un commento con un link, posso passare il mouse sopra il link e mi mostra un'ante...

posta 09.08.2013 - 12:00

3

risposte

Perché dovrei convertire & in & nella prevenzione XSS?

Nella loro REGOLA # 1, OWASP suggerisce che & debba essere codificato come & prima che venga inserito in una pagina HTML. Tuttavia, nei seguenti casi: <tag>userInput</tag> <tag attribute="userInput"&g...

posta 08.05.2018 - 05:53

1

risposta

XSS basato su DOM all'interno dell'attributo src

Ho il seguente codice JavaScript: var url= document.location.href; document.write("<img src='?bla="+document.location.href+"'>"); Sono in grado di iniettare il codice quando aggiungo ad es. ?b=a'onX=alert(1);' all'URL, ma funzio...

posta 22.11.2016 - 02:33

4

risposte

È possibile creare un xss con solo tag html

Non sono a conoscenza di tutti i trucchi xss .. Durante la programmazione in Ruby on Rails, utilizzando un metodo di disinfezione per consentire solo determinati tag e rende è meglio cancellare tutti gli altri tag e script i tag rimanent...

posta 03.12.2012 - 17:10

Domande con tag 'xss'