Domande con tag 'xss'

domande con tag
3
risposte

Stored Cross-Site Scripting senza parentesi o spazi

Sto testando un'applicazione commentante che prende un link del modulo http://google.com e lo inserisce in un tag href in questo modo: <a rel="nofollow" href="http://google.com"> Il commento risultante viene rimosso da http://...
posta 22.10.2014 - 08:06
1
risposta

Caricamento di immagini sicure di XSS, codice php e virus

So che la mia domanda è stata ripetuta molte volte, ma la maggior parte delle risposte risolve le funzioni che non uso nemmeno (come l'uso delle immagini) e che mi preoccupa perché forse non sto facendo qualcosa che dovrebbe fare. Quando conv...
posta 17.08.2013 - 13:18
2
risposte

Sfruttare XSS con window.name senza iFrame

So che l'XSS è possibile se il window.name è riportato nella pagina, ma dalla mia comprensione, questo richiede l'utilizzo di un iFrame, ma cosa succede se la pagina ha una protezione per il clickjacking, impedendo che la pagina venga incorporat...
posta 08.08.2014 - 12:02
2
risposte

È più sicuro memorizzare il valore XSRF all'interno del tuo JavaScript?

Per proteggersi da XSRF, devi avere un token separato su una pagina. Vedi: Coding Horror: Prevenzione degli attacchi CSRF e XSRF, di Jeff Atwood Come suggerisce il post, è meglio avere quei token in un campo nascosto all'interno del tuo...
posta 18.05.2013 - 08:08
1
risposta

XSS tramite Unicode

Leggendo di XSS e delle sue contromisure dal link , si dice (nel secondo paragrafo del link) che: […] support for Unicode character sets by browsers could leave an application open to XSS attacks if the HTML quoting algorithms only look fo...
posta 11.05.2013 - 12:01
1
risposta

Come si può recuperare da Yahoo! Attacco XSS?

Molti account di posta elettronica di Yahoo! / SBC Global sono stati dirottati tramite un famigerato attacco XSS . Gli account vengono spesso utilizzati per inviare spam a membri a caso della rubrica personale dell'utente. Lo spam spesso pubbli...
posta 22.03.2013 - 04:12
2
risposte

Come convalidare lato server in Java per prevenire XSS? [chiuso]

Quando utilizzo il metodo Ottieni e intercetto la richiesta con qualsiasi strumento proxy. quindi Cross site scripting a causa dell'assenza di convalide lato server. Ma nel caso del metodo post, poiché sappiamo che i dati fluiscono nel corpo del...
posta 25.11.2013 - 16:25
1
risposta

Autenticazione con JWT

Sto costruendo SPA (React / Redux) e ho bisogno dell'autenticazione dell'utente. Ho trovato discussioni simili, ma non ho trovato risposte alle domande che ho delineato di seguito. Ecco alcune opzioni che ho trovato per implementare: Opzione...
posta 15.05.2018 - 08:11
2
risposte

Perché "! - script" in una stringa JS causa una pagina / denial of service danneggiata per quella pagina?

Ho avuto l'impressione che tutto ciò che dovevo fare per rendere sicuro JSON in linea consistesse nel rompere qualsiasi tag di chiusura </script> nelle stringhe, ad es. sfuggi al / come <\/script> . Tuttavia ho trova...
posta 03.09.2018 - 07:58
2
risposte

C'è un modo per aggirare la funzione di escape in javascript?

C'è un modo per aggirare la funzione di escape in javascript per sfruttare una vulnerabilità XSS?     
posta 29.11.2011 - 09:30