Domande con tag 'xss'

domande con tag
1
risposta

L'uso della creazione di un profilo firefox separato causa una protezione del contesto di sicurezza separata contro XSS e DNS Re-binding?

Ho letto qui che dovrei usare profili di sicurezza separati per diversi tipi di cose; accedere alle informazioni sensibili, fare amministrazione del sistema e aprire i collegamenti dalle e-mail. So che è possibile eseguire diverse istanze d...
posta 01.12.2015 - 15:08
3
risposte

COME è l'URL / carico utile dannoso consegnato all'utente su un attacco XSS basato su DOM?

Test per DOM basato XSS su OWASP legge: The first hypothetical example uses the following client side code: <script> document.write("Site is at: " + document.location.href + "."); </script> An attacker may append #alert...
posta 27.10.2015 - 08:07
1
risposta

Filtro bypass XSS per agganciare BeEF

Ho trovato una vulnerabilità su un sito Web che mi consente di attivare XSS. È una vulnerabilità molto specifica, causata da un difetto di progettazione. Voglio scrivere un PoC per loro ma sono bloccato in questo passaggio. Il payload XSS non...
posta 06.07.2016 - 15:38
1
risposta

Implicazioni pratiche della vulnerabilità Android SOP del 2014

Per un progetto universitario ho svolto ricerche su tutti i tipi di problemi di sicurezza, specialmente quelli relativi alla privacy, che sono emersi negli ultimi anni su sistemi operativi e applicazioni mobili. Una delle violazioni più infam...
posta 07.06.2015 - 20:06
1
risposta

Se si desidera implementare uno scanner XSS, è assolutamente necessario utilizzare un interprete JS? Perché?

In una recente discussione su uno scanner di vulnerabilità di sicurezza che restituisce falsi positivi per il rilevamento XSS, ho notato che lo scanner inserisce solo una stringa come "this_is_my_string_" (senza virgolette) e se vede la stringa...
posta 22.06.2013 - 10:20
1
risposta

Come eseguire XSS nei campi di input HTML nascosti usando accesskey?

Sto cercando di inserire un carico utile XSS in un campo di input HTML nascosto. So che funziona con un tag script come sotto, ma sto cercando altre alternative. <input type="hidden" name="date" value=""/> <script>alert('0');</s...
posta 12.12.2017 - 10:05
1
risposta

CodeIgniter CSRF confusione

Ho lavorato con CodeIgniter per circa 3 settimane e sto molto bene sulla strada per amare questo framework. Comunque ho visto il codice core del framework e stavo leggendo la protezione CSRF. Ho notato (la mancanza di) rigenerazione CSRF. Tutto...
posta 18.02.2013 - 22:38
2
risposte

Utilizzando l'ASP classico, è questo il modo giusto per proteggersi da XSS?

Usare l'ASP classico, è questo il modo giusto per proteggersi da XSS? var1=untrusteduserinput Mostra un testo nel corpo <%=server.htmlencode(var1)%> Mostra un collegamento nel corpo <a href="http://www.example.com/page.asp?v...
posta 07.12.2014 - 12:03
3
risposte

Vulnerabilità XSS nella risposta allo script non elaborato?

Recentemente abbiamo eseguito una scansione di sicurezza sulle nostre applicazioni web di produzione e ricevuto una notifica di una potenziale vulnerabilità XSS su un particolare URL che viene utilizzato per recuperare una risposta combinata con...
posta 05.12.2014 - 20:51
2
risposte

Software per testare le vulnerabilità di XSS e di altri siti Web [chiuso]

Uno dei miei siti verrebbe sottoposto a test di vulnerabilità, non è sicuro che l'azienda esegua questo test manualmente. Mi chiedevo se posso trovare qualsiasi software in cui specifichi tutti i nomi delle variabili utilizzati nel mio sito w...
posta 07.07.2017 - 12:27