Domande con tag 'xss'

domande con tag
1
risposta

15 caratteri o payload XSS più brevi

Ho trovato una vulnerabilità XSS su un sito di grandi dimensioni e desidero segnalarlo, ma l'unico limite alla vulnerabilità è che consente solo 15 caratteri al massimo. Questo ovviamente ha dei limiti a quali payload è possibile eseguire. Qu...
posta 22.12.2016 - 04:27
1
risposta

L'html è sufficiente per mitigare xss nell'attributo html se il valore è racchiuso tra virgolette doppie

Come menzionato in Owasp Output_Encoding_Rules_Summary perché dobbiamo sfuggire a tutti i caratteri tranne i caratteri alfanumerici [escape tutti i caratteri con l'HTML Entity & #xHH; formato, compresi gli spazi]. È possibile eseguire u...
posta 23.11.2016 - 14:21
1
risposta

Inietti markup personalizzato tramite vanilla JS senza aumentare il rischio di XSS lato client? [duplicare]

Il mondo del software aziendale business-to-business ha sempre richiesto un elevato livello di markup personalizzato per client associato al branding e alla personalizzazione. In una SPA che in genere significa iniettare markup nello script....
posta 24.08.2016 - 17:26
2
risposte

In che modo gli iframe sono vulnerabili agli attacchi

Ho fatto delle ricerche mentre sto cercando di implementare un modulo su un altro sito usando un iframe. Comprendo che un utente malintenzionato può modificare il codice sorgente di un iframe per puntare a uno script, ma in che modo questo influ...
posta 10.08.2016 - 11:46
1
risposta

"riflesso" consegna degli attacchi XSS alla vittima

La mia domanda è specifica per gli attacchi XSS riflessi. Gli attacchi di cross-site scripting sono per lo più possibili quando il parametro iniettabile fa parte dell'URL? So che i parametri vulnerabili nell'intestazione possono essere utiliz...
posta 11.08.2016 - 03:16
1
risposta

Perché lo scripting cross-site in URL è pericoloso se non utilizzo i cookie? [duplicare]

Attualmente ho un problema con XXS in questo sito. https://bbcpanningen.cupweb6.nl:1311/servlet/OMSALogin?msgStatus="><script>alert("hello") </script> Ma non capisco come un aggressore possa sfruttarlo. I siti non utilizza...
posta 12.11.2013 - 20:36
2
risposte

Quali sono alcuni modi per controllare XSS (Cross-Site-Scripting) su un sito Web? [chiuso]

Credo di essere stato recentemente vittima di uno script XSS che ha raccolto i miei cookie; tuttavia, non sono sicuro certo. Mi chiedo se c'è qualche modo per me per controllare (ho rimosso tutti i miei biscotti). Un'altra persona che conosco è...
posta 12.10.2016 - 19:36
2
risposte

Quali proprietari di app devono eseguire mentre risolvono XSS per ridurre al minimo i rischi?

Ho inviato un rapporto pentest in cui ho segnalato XSS in alcune posizioni in un'applicazione. La direzione ha accettato il rischio. Hanno pianificato di rimediare al problema nei prossimi trenta giorni. Tuttavia, hanno chiesto che cosa deve ess...
posta 03.10.2016 - 19:36
1
risposta

Esistono vulnerabilità XSS nel framework Vaadin?

Attualmente sto effettuando ricerche su alcune vulnerabilità di applicazione Web, in particolare vulnerabilità lato client come XSS. Ho già letto alcuni argomenti su questo problema. Hanno detto che era possibile iniettare codice dannoso all'int...
posta 21.09.2016 - 14:14
2
risposte

XSS nella richiesta GET non decodificata sul back-end

Quindi sono abbastanza sicuro di conoscere la risposta a questa domanda, ma voglio essere sicuro al 100%, quindi sto cercando qualche input qui. Una vulnerabilità è stata segnalata a un mio sito che assomiglia a questo: GET mysite.com/page<...
posta 31.03.2016 - 21:03