Dopo la scansione di sicurezza, stiamo riscontrando il problema del meccanismo di protezione (CWE ID 693) nelle nostre applicazione.
La nostra intestazione attuale è impostata come indicato di seguito -
Server: Apache X-Frame-Options: SAM...
Ho scritto uno strumento JQuery per visualizzare l'anteprima delle immagini prima del caricamento.
L'utente A fa clic sul pulsante Esplora per selezionare un'immagine
lo seleziona
un evento di cambiamento mostra l'immagine
Se l'utente...
Attualmente sto sperimentando l'intestazione HTTP "Range: bytes = XXX". Indipendentemente dalla possibilità di usarlo per il cosiddetto attacco DoS "Apache Killer" (versione Apache senza patch, ecc.), È possibile utilizzarlo erroneamente per un...
Lo sviluppatore filtra i caratteri ' , < , > e = e la vulnerabilità è qualcosa del tipo:
Ho anche provato le codifiche URL come %3c , %0a , %3e , %0a , %3d , %0a , %27 e %0a ma non fun...
Ho cercato le vulnerabilità XSS nel sito web di un amico (blackbox) e in una delle pagine prende il tuo input e lo inserisce in uno script js, window.location="[INPUT]";
Non potevo interrompere le virgolette perché sono state sostituite co...
La mia applicazione sta costruendo dinamicamente un URL sorgente e quindi scrive il file di risorse (Excel) direttamente nella risposta. L'URL viene letto da un file delle proprietà, in base all'ambiente dell'applicazione. (Non correlato all'inp...
Usando una versione precedente di AngularJS: 1.2.21 dell'esempio, ci sono alcuni giochi che possono generare un XSS.
{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}...
C'è stato un lungo dibattito sulla modellazione CSP, ho un'applicazione Web e uso JQuery in esso, per cui uso il sito principale di JQuery http://code.jquery.com/jquery-x.yy.z.min.js per ospitarlo sul mio sito per funzionare, so che i CDN p...
Quale percentuale di attacchi XSS utilizza JavaScript esterno. Ad esempio:
<script src="http://badsite.com/maliciouscode.js"></script>
Invece di:
<script>alert(document.cookie);</script>
Qualsiasi fonte sarebbe...
Cerco di far funzionare XSS in una richiesta GET, ma funziona solo all'interno di BURP perché posso inviare ad esempio > come stringa non codificata URL. Appena lo provo nel browser, non è più possibile perché il browser codifica >...