Dopo aver letto la domanda sul referrer e risposta di @DW, non ho capito la seguente parte:
XSS defense. Strict referer checking can make reflective XSS attacks
harder, because other sites can't trick the victim's browser into
visit...
Sto sviluppando un sito web sociale e voglio consentire all'utente SOLO questi tag e attributi html nei loro post:
tags: <img>, <b>, <strong>, <blockquote>, <a>
attributes: 'src', 'alt', 'width', 'height', 'href...
C'è un campo di input che non viene codificato sul lato server. Ma se dai un intero script diciamo <img src=a onerror=alert(1)> , mostra un errore del tipo: <img src=a....' non è un valore valido.
Non sono a conoscenza di al...
Ho ricevuto una recente recensione sulla sicurezza di un sito Web che menzionava una vulnerabilità di cross-frame scripting. In breve, ha menzionato che un sito dannoso potrebbe caricare la pagina in un iframe, ingannando l'utente a pensare che...
Sto creando un piccolo script web che reindirizza principalmente il browser ma presenta alcune condizioni di errore quando i parametri di input non possono essere convalidati.
Mi piacerebbe visualizzare messaggi di errore come il parametro X...
In questo caso mi imbatterò in attacchi XSS o verrà richiesto un download di file?
Ci sono problemi di sicurezza che potrebbero sorgere in un browser moderno?
Diciamo che le intestazioni di sicurezza HTTP di seguito sono applicate a tutte le pagine HTML di un sito:
HTTP Strict Transport Security (HSTS)
X-Frame-Options (XFO)
X-XSS-Protection
X-Content-Type-Options
Va bene per non inserir...
Sto lavorando a un progetto aziendale e abbiamo una nuova versione imminente. Il team di sicurezza esegue una scansione di sicurezza, in quel report di vulnerabilità c'è un punto con cui sto lottando. Il progetto utilizza jQuery 1.4.x e causa un...
Mi sono imbattuto in seguenti esempi di attacchi XSS su OWASP :
Other damaging attacks include the disclosure of end user files, installation of Trojan horse programs...
Come noto, un attacco XSS classico che utilizza JS ha un accesso m...
Sto testando un'applicazione che salta solo < e > simboli. L'input dell'utente che viene convalidato viene sempre inserito tra tag html come <b> , <span> , <div> , ecc. E non viene mai passato alla p...