Domande con tag 'xss'

domande con tag
1
risposta

Esiste un database con i vettori XSS, possibili riferimenti e informazioni sui test?

Recentemente ho avuto l'idea di sviluppare un database pubblico in cui verranno registrati i vettori XSS (cross-site scripting) unici e ottenere un riferimento assegnato simile al sistema CVE. Ho già creato un PoC locale e registrato un domin...
posta 26.07.2016 - 15:30
1
risposta

I frammenti di JS sul mio progetto live non compaiono nel mio codice che risiede sul mio server di produzione

Ho un progetto di sito web Django che è in diretta (chiamiamolo esempio.com). È un forum in cui gli utenti possono inviare commenti e rispondere a loro. Ha un database Postgresql e un proxy inverso gunicorn + nginx come server web configurato. S...
posta 16.02.2016 - 14:45
2
risposte

JavaScript eval () per analizzare JSON dopo aver disinfettato le espressioni regolari - XSS è possibile?

È possibile ignorare la mia regex ed eseguire JavaScript? <script> function json(a){ if (/^\s*$/.test(a) ? 0 : /^[\],:{}\s\u2028\u2029]*$/.test(a.replace(/\["\\/bfnrtu]/g, "@").replace(/"[^"\\n\r\u2028\u2029\x00-\x08\x0a-\x1f]...
posta 06.02.2013 - 06:41
7
risposte

Le migliori pratiche attuali per prevenire attacchi XSS persistenti

Ho un campo di testo che consente all'utente di digitare qualsiasi cosa lui / lei vuole. Dopo il salvataggio, i risultati vengono in seguito visualizzati sullo schermo a un numero potenzialmente elevato di persone. XSS mi sembra un po 'come l...
posta 30.08.2012 - 22:39
3
risposte

Rischio XSS per un'applicazione a cui è possibile accedere solo da localhost

Ho un'app Web che può essere utilizzata tramite un browser. L'app Web è accessibile solo su localhost. Non è possibile l'accesso remoto. Uno strumento di sicurezza ha scoperto un problema XSS. Ora se questa web app funziona solo localhost, allor...
posta 22.01.2013 - 10:22
4
risposte

Modo efficiente per trovare le vulnerabilità XSS?

Modo manuale (affidabile) : inserisci una stringa contenente caratteri che hanno un significato speciale in HTML in alcuni parametri della richiesta HTTP, cerca questa stringa nella risposta HTTP (e possibilmente) in altri punti in cui è resa ....
posta 20.09.2012 - 09:04
2
risposte

Le sessioni PHP sono basate su cookie o su una coppia IP cookie?

Ho un sito Web PHP e la mia domanda è: Se qualcuno riesce a rubare i cookie dei miei utenti tramite un attacco XSS, è sufficiente che sia identificato come utente? O anche il suo IP deve essere uguale all'utente che ha effettuato l'accesso?...
posta 24.08.2011 - 13:17
2
risposte

E 'possibile prendere tutti i cookie di diversi siti Web con un solo attacco XSS?

Mi stavo chiedendo se è possibile prendere tutti i cookie per diversi siti Web attraverso un attacco XSS? Ad esempio, si supponga che Twitter abbia una vulnerabilità XSS sfruttata da un utente malintenzionato. L'utente malintenzionato potrebbe p...
posta 13.04.2017 - 11:03
2
risposte

Ogni elemento di output dovrebbe essere filtrato o solo quelli che contengono dati modificabili dall'utente? [duplicare]

Sto sfogliando un'app legacy che aggiorna SQL per prevenire le iniezioni e le vulnerabilità XSS. So di applicare PHP 's htmlspecialchars() a tutto ciò che viene passato direttamente a uno script e visualizzato su una pagina. Devo...
posta 12.11.2014 - 14:11
3
risposte

Script XSS in console

Bene, ho bisogno di sapere che è possibile inserire lo script xss tramite la console degli strumenti dello sviluppatore (ad esempio firebug di firefox)? È un modo corretto?     
posta 07.11.2013 - 05:17