Domande con tag 'xss'

domande con tag
2
risposte

In ogni caso a fuggire l'input di lettura HTML come una stringa?

Quindi sto valutando un sito Web notoriamente sicuro per l'exploit XSS, ma ho notato qualcosa di interessante. Escludono le entità del numero HTML ( { ) ma non i tipi di lettera ( < ). Con il tipo "lettera", analizza sul...
posta 26.11.2016 - 17:28
2
risposte

XSS perché \ n deve essere sostituito da \ nbr

Mi sono imbattuto nella seguente soluzione xss. Il vecchio codice era: this.commentText = new Text(Sanitizer.sanitizeForHtml(commentText.getValue())); Il codice di correzione xss è: String sanitizedText = Sanitizer.sanitizeForHtml(comment...
posta 20.09.2016 - 21:26
2
risposte

Il payload per XSS basato su DOM è definito come originato solo all'interno del browser o anche all'esterno di esso

Ho letto in più punti viste contraddittorie su ciò che potrebbe essere considerato un XSS basato su DOM. Sembra che la definizione originale indichi che si tratta di una forma di XSS in cui il carico utile proviene esclusivamente dall'interno de...
posta 31.07.2016 - 08:26
2
risposte

Come prevenire l'XSS riflesso con Java Struts Framework? [chiuso]

Ho un'applicazione che viene eseguita sotto il server Jboss. Ho davanti un server Apache. La mia applicazione contiene una vulnerabilità di sicurezza (XSS Cross-site scripting). Volevo sapere che dovevo apportare modifiche al codice (HTML, Ja...
posta 22.02.2016 - 15:27
2
risposte

Come posso dimostrare l'XSS riflesso tramite i metodi post

Stavo cercando di creare un PoC di XSS: Esempio di attacco: Ho inserito lo script nel valore: <html> <body> <form action="https://test.com/api/users.prefs.set?t=1447648400" method="POST"> <input type="hi...
posta 16.11.2015 - 06:08
1
risposta

Fa eco i parametri GET in un tag script riflesso o XSS basato su DOM?

Sto facendo fatica a capire se il seguente potrebbe essere considerato come un XSS basato su DOM o XSS riflesso e speravo che qualcuno potesse aiutarmi a distinguere la differenza. Immagina il seguente scenario: Immagina che un sito abbi...
posta 02.07.2016 - 01:54
3
risposte

Questo codice JavaScript è vulnerabile agli XSS basati su DOM?

Ho un codice JS sotto che sta reindirizzando verso una posizione presa da un modulo HTML. È vulnerabile a un attacco come XSS basato su DOM? document.theform.reference.onchange = function(){ var id = document.theform.reference.selectedInde...
posta 30.07.2015 - 15:08
1
risposta

XSS all'interno di un javascript

Un XSS può essere creato all'interno del seguente JS. $(function () { $("#panel").find(".form").each(function (index) { var that = this; $(that).overload(); }); $("#panel").f...
posta 23.04.2015 - 07:00
3
risposte

Il token CSRF senza cookie di sessione dovrebbe funzionare?

Diciamo che il sito Web esempio.com ha una protezione CSRF. Invia un token CSRF in un'intestazione personalizzata e in campi di input nascosti. Ad esempio per aggiungere una nuova cartella, la tua richiesta http deve contenere un token CSRF....
posta 07.02.2015 - 17:13
1
risposta

Eventuali test standard per prevenire l'hacking? [chiuso]

Sono molto nuovo nel mondo della programmazione, quindi la mia domanda potrebbe sembrare strana. Sto usando il selenio per testare un'applicazione, ieri uno dei miei colleghi ha riscontrato questo problema che se qualcuno inseriva questo: <...
posta 07.07.2015 - 18:01