Domande con tag 'xss'

domande con tag
4
risposte

Xssing senza aprire un nuovo tag html

Esempio: test.php?p=test fornisce output: <p style="...">test</p> Posso iniettare qualcosa di diverso da "<", quando iniettato sono stato reindirizzato. Quindi può essere sfruttato?     
posta 28.10.2015 - 20:44
1
risposta

Quanto è sicuro lo spazio web HTML5 (sessionStorage e localStorage)?

Sto pensando di utilizzare sessionStorage o localStorage per memorizzare alcuni dati utente importanti. Le funzionalità dell'estensione funzioneranno solo nel contesto di un determinato sito Web che per impostazione predefinita è HTTPS. I...
posta 30.06.2016 - 02:53
2
risposte

La protezione CSRF può funzionare anche se esiste una vulnerabilità XSS?

Necessità di una protezione CSRF che resista a un attacco XSS Uno dei grandi pericoli dell'XSS è che spesso può ignorare la protezione CSRF e quindi eseguire qualsiasi azione che la vittima può compiere. Se sarebbe possibile prevenire CS...
posta 11.04.2016 - 21:52
2
risposte

Prevenzione XSS per servizi RESTful

Un servizio RESTful è attualmente protetto dagli attacchi XSS applicando lo schema XML e la convalida dell'entità. In entrambi i casi ciò avviene tramite un'espressione regolare come: <xs:pattern value="[0-9]{1}[0-9a-z/\ -]{0,7}" />...
posta 09.09.2013 - 20:15
2
risposte

XSS: analisi di Javascript

Lettura su XSS basato su DOM da link Illustra alcuni esempi come: http://www.vulnerable.site/welcome.html?foobar=name=<script>alert(document.cookie)<script>&name=Joe e http://www.vulnerable.site/attachment.cgi?id=&am...
posta 11.05.2013 - 20:14
1
risposta

In che modo un affidabile maps.googleapis.com in CSP attiva una vulnerabilità XSS? (JSONP)

Sto testando lo strumento CSP Evaluator e ho una domanda riguardante la seguente politica di sicurezza del contenuto: default-src https://maps.googleapis.com Lo strumento considera questo come un rischio elevato: maps.googleapis.c...
posta 29.09.2016 - 10:59
1
risposta

Si tratta di un metodo sicuro per l'impostazione dinamica di X-Frame-Options? (più domini)

L'intestazione X-Frame-Options impedirà al tuo sito di essere iFramed da altri domini. Sui browser che accettano la direttiva ALLOW-FROM sei limitato a specificare solo una singola origine. Potresti utilizzare una direttiva CSP 2.0 f...
posta 06.04.2016 - 01:30
2
risposte

In che modo gli honeypot rimangono sicuri per 0 giorni e per gli exploit più recenti?

Se gli honeypot sono progettati per un insieme specifico di exploit, come SQL injection e XSS, come si proteggono da altri exploit? Ad esempio, se avessi creato un honeypot alcuni mesi fa e lo avessi ancora in esecuzione, sarebbe sicuro da shell...
posta 16.12.2014 - 22:01
1
risposta

E 'possibile ottenere variabili PHP usando XSS tramite la richiesta GET?

Se c'è una richiesta get che visualizza il valore dopo l'elaborazione lato server tramite PHP, es. mysite.com?message= , è possibile passare un valore che ottiene variabili dal modulo PHP che lo elabora?     
posta 19.08.2016 - 03:09
4
risposte

Misure Anti-XSS lato client

Quali sono le librerie JavaScript lato client affidabili e stabili per la prevenzione dell'XSS e perché? Sarebbe molto utile se potessi fornire dettagli come: supporto browser conformità a qualsiasi standard (come le linee guida OWASP) i...
posta 10.08.2016 - 19:19