Domande con tag 'xss'

domande con tag
1
risposta

XSS nel file SWF

Ho il seguente codice in un file SWF che uno scanner di vulnerabilità contrassegna come XSS: // Action0 { var __callResult_6 = getURL(_root.thankYou, "_self"); var __callResult_7 = stop(); } Come può essere sfruttat...
posta 15.12.2011 - 11:32
1
risposta

XSS fasullo nella barra di ricerca [chiuso]

Stavo curiosando su uno dei programmi meno noti di Google, Build with Chrome , quando ho notato qualcosa di piuttosto divertente con la barra di ricerca. Quando digiti il payload XSS standard <script>alert(1);</script> , la noti...
posta 20.03.2017 - 22:39
1
risposta

Tentando di trovare un XSS, perché questo pezzo non viene eseguito? [duplicare]

Hovistochequestitipidiistanzesiverificanoabbastanzaspessoesonocuriosodisapereperché(anchesenzafiltro)nonverràeseguito...poichéilcodiceèpropriolì.Ognioccorrenzadiciòhonotatochequandocontrolliinunostrumentodisviluppoitagnonsonoformattati;quindi...
posta 21.03.2017 - 18:42
1
risposta

Previene la modifica di document.location, quando si inserisce il comando JavaScript document.location

Ho trovato un XSS riflesso in un'applicazione durante un test, in cui definisco la stringa passata a: <script language='JavaScript'> document.location='/this-is-my-input' </script> Si verifica qualche sanificazione dell'input, a...
posta 03.02.2017 - 13:54
1
risposta

ID gancio manzo non valido: il browser collegato non può essere trovato nel database?

Quindi ho appena installato beEF sul mio server centOS , ma finora non ha funzionato su nessuna pagina che non si trova nello stesso browser in cui sono connesso. Il pannello di amministrazione beEF funziona solo sulle pagine demo...
posta 29.11.2016 - 15:32
1
risposta

Tecniche per individuare il punto di iniezione XSS

Sto cercando di capire un modo per capire quale linea di uno script JavaScript è responsabile per un'iniezione XSS. Supponiamo di avere un sito Web che richiede il mio nome e in alcune pagine ho impostato il mio nome come <script>alert("...
posta 09.02.2017 - 21:55
1
risposta

Come prevenire i dati dall'intercettazione?

Sono uno sviluppatore web. Qualche giorno fa, ho usato Burp, per intercettare l'app ufficiale di Facebook sulla rete, impostando il proxy. Ho notato che i dati sono stati crittografati. Mentre sto usando Json per comunicare, mi chiedo, come...
posta 13.03.2016 - 15:01
1
risposta

È vulnerabile allo sfruttamento XSS?

Una tipica chiamata ajax: $.ajax({ url: "http://mywebsite/script?param=" + $("#field").val(), dataType: "jsonp", success: function(response) { $("#id").html(response); }, }); invia un parametro. Il parametro viene filtrato e...
posta 30.12.2015 - 15:31
1
risposta

Come posso eseguire con successo un attacco xss su un sito Web fittizio? [chiuso]

nel mio corso sulla sicurezza, ci è stato detto di praticare un attacco xss usando firefox su questo sito Web; http://permalink.co/ Non preoccuparti, questo è un sito web appositamente configurato per farci esercitare la sicurez...
posta 10.03.2015 - 17:35
2
risposte

Rilevamento XSS basato su DOM principale che utilizza python

Sto lavorando per un progetto di creare uno strumento di scansione XSS usando python. Ho un URL di esempio: http://www.foo.bar/index.php?ids=111 Ho scoperto che ha una vulnerabilità di http://www.foo.bar/index.php?ids="><SCrIpT...
posta 05.10.2014 - 19:00