Le migliori xss

1

risposta

Aggiungere una virgoletta doppia alla fine di una query di input è un metodo di prevenzione XSS valido?

Mi chiedevo se l'aggiunta di un doppio apice alla fine di una query fosse considerata un filtro XSS valido. Diciamo che abbiamo una funzione di ricerca e ho inserito: "><script>alert('hi')</script> Se guardo all'origine della...

posta 23.03.2013 - 19:21

1

risposta

ID di proprietà insolito utilizzando localStorage; eventuali problemi?

Sto lavorando su un piccolo progetto parallelo in PHP. Potrei ancora includere una sorta di effettiva registrazione di nome utente / password lungo la linea, ma per ora, per facilità di attirare l'attenzione, il mio obiettivo è quello di consent...

posta 19.08.2013 - 21:56

1

risposta

La preposizione di "http: //" a una stringa fornita dall'utente genera un URL sicuro da utilizzare?

È sicuro (in termini di vulnerabilità XSS) ottenere un parametro X dall'utente, sfuggire alle sue doppie quotazioni e inserirlo come href? Pseudo-code: Y = escape_double_quotes(X); print '<a href="http://' + Y + '">link</a>'

posta 24.03.2013 - 20:48

2

risposte

Che cos'è il lato client non-DOM XSS?

Ho letto le nuove categorie di XSS. Secondo OWASP , non sono più solo riflessi, memorizzati e basati su DOM XSS, ma piuttosto server / lato client, quindi suddiviso in rispecchiato / memorizzato. Secondo il sito, l'XSS basato su DOM è solo u...

posta 15.10.2018 - 18:38

1

risposta

XSS e ordine parser del browser

Ricordo di aver letto qualcosa qualche tempo fa sugli attacchi XSS di successo quando veniva usata la tecnica di codifica sbagliata per il contesto. In particolare, lo ricordo quando codifica HTML in contesto Javascript, per il valore di un attr...

posta 24.08.2016 - 22:56

1

risposta

GET, POST e windows.location sono vulnerabili all'XSS in un tema Wordpress?

Ho creato un tema Wordpress per il mio cliente. Mi ha detto che ha scansionato il mio tema con uno scanner di vulnerabilità e che ha problemi di sicurezza con i metodi GET e windows.location . È davvero insicuro? Come posso risolvere questo?...

posta 25.06.2013 - 13:38

1

risposta

Cosa ci impedisce di usare un tag antiscript per fermare XSS?

Sono a conoscenza di vari modi per prevenire gli attacchi XSS, come l'escaping e la codifica, che sono soggetti a problemi e che utilizzano una politica di sicurezza dei contenuti che richiede l'estrazione di tutti gli script. Tuttavia, ciò che...

posta 02.09.2018 - 03:24

1

risposta

Sono sicuro da XSS in React se non uso pericolosamenteSetInnerHTML?

Diciamo che scrivo una webapp usando solo React, senza mai toccare direttamente il DOM. Non uso mai dangerouslySetInnerHTML . Devo ancora preoccuparmi di XSS? O in altre parole, ci sono altri usi non sicuri di React? Sarebbe molto bello s...

posta 27.08.2018 - 21:01

1

risposta

Come fa il tag di ancoraggio (a) a fare un XSS memorizzato?

Stavo cercando di ottenere XSS ma e l'input di validazione del sito ma quando ho inserito https://google.com il sito ha fatto questo: <a href="//google.com">https://www.google.com</a> quindi ho provato a fare questo: j...

posta 15.07.2018 - 05:16

1

risposta

Valutazione della sicurezza dello script di terze parti

Sto facendo ricerche sugli strumenti di terze parti da utilizzare in un progetto e non ho trovato prove conclusive a riguardo: È meglio * includere gli script di terze parti con un tag <script> o ospitarli localmente? Dove meglio...

posta 06.03.2018 - 07:08

Domande con tag 'xss'