Domande con tag 'xss'

domande con tag
1
risposta

Perché il metodo onerror del mio attacco XSS non funziona?

Sono stato in grado di iniettare un evento onerror in HTML. Nell'immagine puoi vedere che onerror è stato iniettato, ma non si attiva mai.     
posta 26.08.2015 - 09:20
1
risposta

CSRF token rubare

Mi sono imbattuto in questo link che indica come un utente malintenzionato potrebbe sfruttare il controllo di accesso per consentire a un origine di ottenere un token anti-CSRF: link Se il token dell'esempio precedente era un token monou...
posta 05.06.2014 - 16:27
2
risposte

Problemi di sicurezza nell'esempio del codice funzione "Ricordami"

Sono un principiante e questi possono essere molto ovvi per te, ma sto cercando di capire se ci sono problemi di sicurezza con questo esempio. Oggi su Stack Overflow, ho visto il seguente post: PHP Sessions Accedi con ricordami . La doman...
posta 09.08.2014 - 16:53
3
risposte

Questa vulnerabilità riflessa in XSS rappresenta una vera minaccia?

Ho un sito web in cui gli utenti possono inserire del testo in una casella di testo e il testo viene immediatamente visualizzato in un div utilizzando javascript (rigorosamente front-end). Se un utente termina qualcosa del genere: This is my t...
posta 11.04.2014 - 01:12
1
risposta

Script firmati digitalmente come metodo per contrastare XSS

Come approccio generale alla gestione degli attacchi XSS, piuttosto che dover ricordare di sfuggire al codice generato dall'utente, esiste un modo per indicare al browser di non eseguire alcun script o funzione di script che non sia firmata con...
posta 09.03.2014 - 21:06
3
risposte

Qual è il rischio di cross-site scripting se incorporo javascript in un sito Web

Qual è il rischio di cross-site scripting, se incorporo javascript in un sito web? Molto semplicemente, sto usando un "site builder", e non consentono di girare le immagini, ma ti permettono di incorporare il codice ... Quindi ho pensato di farl...
posta 22.08.2013 - 17:42
1
risposta

exploit document.write con input utente non criticato

Sto provando a inserire javascript in un file script js ma non funziona. Ho la seguente configurazione: file html con javascript-file include (tutto inline js è bloccato!) Welcome, <script src="js/domxss.js" type="text/javascript">...
posta 02.03.2014 - 20:31
2
risposte

Le vulnerabilità XSS presenti nelle librerie js di terze parti possono essere utilizzate per attaccare l'app che utilizza lib?

Sto usando varie librerie di terze parti come cordova.js, jquery, jquery mobile, mobilizer e così via, in un'app per Android. Queste librerie hanno vari vettori XSS attraverso l'uso insicuro di eval, settimeout, inner / outerhtml e così via. Tut...
posta 12.03.2013 - 07:39
1
risposta

ignora un filtraggio regex per eseguire un attacco xss

La regex [\ w /$!.*-]+$ interrompe l'iniezione di payload come: "><script>alert(4)</script> " onload="alert(4)" ...     
posta 31.03.2013 - 17:36
2
risposte

Bypassare i filtri XSS [duplicato]

Qualcuno può darmi una lista di modi per codificare il payload XSS, o per essere precisi quali sono i modi per codificare il payload XSS per bypassare la codifica di < > o (). Conosco il bypass a doppia codifica con% 253c e Unicode, ma...
posta 19.01.2012 - 19:30