Domande con tag 'xss'

domande con tag
1
risposta

XSS in textarea quando e non sono permessi?

Sto cercando di eseguire XSS sul punto di iniezione contrassegnato con XXXX qui: <textarea name="billing[something]" id="billing-something" rows="1" type="phone" title="something" placeholder="something" cols="80">XXXX</textarea...
posta 20.04.2018 - 11:51
1
risposta

BeEF XSS - funzionamento interno

Sto studiando BeEf XSS perché penso che sia uno strumento molto interessante per un tester di penetrazione, ma ho un paio di dubbi a riguardo, in particolare quando lo collego alla richiesta di un dominio incrociato. Quindi, in qualche modo,...
posta 18.04.2018 - 11:02
1
risposta

Disinfetta i valori specifici degli attributi HTML con XSS

Vogliamo implementare una "modalità sicura" in un parser Markdown chiamato Parsedown . Abbiamo un'opzione MarkupEscaped che disabilita l'input HTML, ma questo non è sufficiente. Per essere sicuro, il parser deve disinfettare i valori degli...
posta 24.01.2015 - 22:18
1
risposta

È possibile utilizzare un filtro servlet Java per estrarre script non inseriti nella whitelist?

Potrei fare una domanda simile a questa: Whitelisting elementi DOM per sconfiggere XSS Ma penso che la mia soluzione proposta sia diversa e mi chiedevo se potevo convincere la comunità a commentare se potesse essere un modo efficace per pre...
posta 25.01.2014 - 01:17
1
risposta

Vulnerabilità Newline XSS

Quindi stavo sperimentando XSS usando un carattere di nuova riga (% 0A). Così sono arrivato al solito vettore: '% 0Aalert (/ xss /) // e una cosa mi è venuta in mente. Cosa succede se non riesci a inserire un preventivo? Una nuova riga interr...
posta 06.03.2013 - 21:51
1
risposta

Il carattere multibyte sfrutta JSP / PostgreSQL

Sto cercando di proteggere un'applicazione web, scritta in Java / JSP e in esecuzione su PostgreSQL, contro l'iniezione SQL. Mi sono imbattuto in questa interessante risposta , che si riferisce a PHP e MySQL. C'è qualche risorsa sull'iniezione...
posta 21.05.2012 - 12:32
2
risposte

Come mostrare popup XSS senza usare parole chiave di avviso e script?

Mi sono imbattuto in un campo che è vulnerabile a XSS. Accetta e contrassegna tuttavia le parole chiave script, alert, msgbox, prompt sono bloccati. Ho provato ogni versione codificata di queste parole chiave ma non funziona. C'è un modo in c...
posta 17.07.2013 - 14:50
1
risposta

Quali sono i buoni strumenti per la scoperta di CRLF? [chiuso]

Quali sono i buoni strumenti per trovare le vulnerabilità Iniezione CRL ?     
posta 11.04.2013 - 22:02
1
risposta

Come abilitare in sicurezza gli script ma prevenire l'XSS?

Stiamo cercando di trovare il modo migliore per consentire JavaScript in un'applicazione web mentre si è al sicuro contro XSS. Gli amministratori del sito hanno il privilegio di inserire JavaScript per controllare i modelli del sito e pubblic...
posta 06.11.2018 - 01:01
1
risposta

Come si è diffuso il worm worm?

Recentemente Tumblr è stato colpito da un worm a diffusione rapida . Come funzionava il worm? Qual è stata la vulnerabilità in Tumblr che ha sfruttato? Ha sfruttato una vulnerabilità XSS in Tumblr? Una vulnerabilità CSRF in Tumblr? Qualcos'a...
posta 07.12.2012 - 06:36