Domande con tag 'xss'

domande con tag
3
risposte

XSS riflettente nei codici di script con tipo di contenuto "text / javascript"

Ho una pagina web che restituisce codice di script non elaborato con l'intestazione Content-Type: text/javascript . Tuttavia ho trovato che c'è un xss riflettente in uno dei parametri passati all'url che viene copiato nel javascript restitui...
posta 03.01.2016 - 19:00
1
risposta

La prevenzione XSS è sufficiente solo sul frontend per i servizi JSON? [duplicare]

Abbiamo un'applicazione con un modulo in cui l'utente può inserire un commento. Il modulo viene inviato utilizzando AJAX. I valori vengono letti anche tramite AJAX e restituiti dal backend come JSON e quindi analizzati da JavaScript per presen...
posta 09.10.2014 - 16:18
3
risposte

Download sicuro dei contenuti inviati dagli utenti

TL; DR Salviamo il carico utile della richiesta e l'intestazione Content-Type in un database. Dovrebbe essere JSON o CSV ma potrebbe non essere corretto. Supporta gli utenti a scaricare il carico utile della richiesta come file nei loro b...
posta 31.03.2016 - 18:02
2
risposte

Perché questo attacco XSS non funziona?

Ho un sito con il seguente javascript in esecuzione: var t=location.hash.slice(1); $("div[id="+t+"]").text("The DOM is now loaded and can be manipulated."); Stavo pensando che se ho aggiunto il seguente all'URL: #message]");alert('test');...
posta 18.09.2014 - 23:37
1
risposta

Utilizzo di htmlentities () in un'area di testo che supporta il BBCode per arrestare XSS

Voglio avere un'area di testo per pubblicare cose nel database con BBCode. Quindi, ho scaricato un codice JavaScript (per scrivere nello specifico BBCode quando l'immagine è stata cliccata) ma non ha trasformato il testo. Ci sono immagini di...
posta 19.06.2016 - 11:06
3
risposte

Oltre le iniezioni SQL e XSS

Sono un programmatore che lavora su un servizio web (da solo). Dato che non sono un esperto di sicurezza, sono venuto in questo sito per porre la mia domanda. Ho fatto tutto il necessario per proteggere il mio sito web. Ho provato a protegger...
posta 22.12.2014 - 23:23
1
risposta

BeeF - Come funziona? [duplicare]

Sono principalmente lato server. Non ho lavorato con JS molto prima. Il mio collega parlava di BeeF e di come controlla fondamentalmente il browser delle vittime semplicemente con un semplice attacco xss. Mi stavo chiedendo come sia poss...
posta 29.03.2014 - 02:01
4
risposte

Questo sarebbe considerato un XSS o un RFI o nulla?

Sono uno studente principiante della sicurezza di rete e come pratica mio padre mi permette di dare un'occhiata al suo sito personale di negozio online. Ho trovato uno script chiamato image.asp che, quando viene alimentato, restituisce una mi...
posta 07.11.2014 - 06:18
1
risposta

XSS attacco vettoriale senza barra?

esiste un vettore di attacco XSS che consente l'inclusione di un file .js esterno senza dover utilizzare le barre in avanti? diciamo che il percorso del file è somewebsite.com/js/xss.js C'è un modo per passarlo a un parametro che funz...
posta 23.02.2014 - 18:27
1
risposta

È possibile eseguire xss in queste condizioni?

È possibile eseguire xss nelle seguenti condizioni? I seguenti caratteri e parole bloccati vengono sostituiti con _. characters: > , : , ; , " , ' , # , ~ , \ , % , ( , ) , [ , ] , { , } , [space] keywords: alert, confirm, prompt...
posta 02.09.2013 - 20:51