Domande con tag 'xss'

domande con tag
4
risposte

Come prevenire l'auto-XSS?

Sto creando un sito Web che utilizza esclusivamente API REST per tutte le funzionalità e funzionalità, dalla registrazione e accesso per il recupero dei dati e il popolamento della pagina Web utilizzando Moustache come motore di template per gli...
posta 13.03.2018 - 09:43
4
risposte

Come utilizzare la vulnerabilità XSS per leggere il file sul server?

Posso utilizzare una vulnerabilità XSS per leggere i file sul server iniettando il codice PHP nella pagina? Esempio: usa document.write per iniettare il codice PHP che legge il file.     
posta 14.07.2016 - 08:19
2
risposte

Quanto è brutto rendere HTML dai cookie?

Recentemente ho lavorato con un framework PHP e ho visto che stava mettendo html in un cookie per leggerlo da javascript (non chiedermi il motivo). Ho provato a modificare l'html nel cookie inserendo un'istruzione alert('bingo') e ha fun...
posta 08.09.2017 - 15:55
1
risposta

Se un sito Web esclude i termini relativi a XSS, è ancora potenzialmente vulnerabile?

Ad esempio, supponiamo che esista un sito Web in cui l'input dell'utente non è correttamente disinfettato, ma questi filtri sono ancora attivi. Qualsiasi cosa digitata viene inserita tra due tag div. Se l'input è " hello ", viene visualiz...
posta 16.05.2017 - 00:28
2
risposte

Perché devo eseguire test XSS manuali oltre a utilizzare strumenti come Burp Suite / XXSer / Xenotix?

A che punto il test manuale per XSS viene preferito a un attacco automatico come quello di Burp Suite? Guardando attraverso bug bounties e vari exploit e non è chiaro dove c'è una linea divisoria tra la scoperta manuale e automatica di XSS, s...
posta 20.05.2016 - 12:18
4
risposte

Cambiamento sicuro dei collegamenti testuali agli ancoraggi HTML

Sto provando a cambiare i link testuali a veri ancore. Ad esempio, voglio cambiare http://example.com in <a href="http://example.com">http://example.com</a> . Poiché si tratta di una stringa data dall'utente, dovrei prend...
posta 23.02.2011 - 10:13
2
risposte

Perché vietare XSS invece di segnalarlo?

Considera un browser che consente a XMLHttpRequest scaricato da foo.net di effettuare richieste a bar.net, ma allega un XHR-Origin: http://foo.net (o forse un valore più descrittivo come http://foo.net/trustedapp.js ). L'XHR non poteva...
posta 09.08.2012 - 06:14
2
risposte

In che modo gli hacker distribuiscono i keylogger?

Conosco l'uso dei keylogger. Quello che vorrei sapere è come un hacker può installare il keylogger sul sistema della vittima? Se può essere fatto da XSS allora dove questo keylogger è effettivamente installato (intendo per il sistema client o il...
posta 19.09.2014 - 13:07
1
risposta

L'uso di ASP.NET impedisce XSS [duplicato]

Stavo leggendo su XSS , e so che ASP.NET non consente il salvataggio di HTML nel database. Quindi la mia domanda è: l'uso di ASP.NET rende la mia applicazione Web sicura per quanto riguarda XSS completamente , senza ulteriore lavoro da p...
posta 17.10.2015 - 22:11
1
risposta

E 'abbastanza per affrontare l'inserimento di script / codice dannoso in GET, richieste POST?

Ho un codice PHP legacy che tenta di prevenire script / SQL injection con quanto segue: if (!empty($_POST)) { reset($_POST); while (list($k,$v)=each($_POST)) { if(!is_array($_POST{$k})) { $val=str_replace("&...
posta 10.02.2011 - 11:02