Le migliori xss

3

risposte

Verifica dello scripting cross-site su un campo che non accetta più di 20 caratteri

Durante l'esecuzione dei test di penetrazione, sono rimasto bloccato fino a un certo punto. C'è un campo di testo che non accetta più di 20 caratteri (convalida lato server). Ho inserito il seguente codice per verificare XSS (dal cheat XSS di RS...

posta 14.06.2011 - 08:39

2

risposte

PHP: se il set di caratteri non corrisponde (htmlentities UTF-8) visualizzato dal client come ISO-8859-1 (o viceversa)

Breve domanda: Domanda: potrebbero sorgere vulnerabilità di sicurezza se un server esegue htmlentities come UTF-8 ma il client visualizza i risultati come ISO-8859-1? Presupposto: non esistono vulnerabilità quando si utilizza un set di...

posta 28.02.2014 - 09:59

3

risposte

Permettere agli utenti di inserire un sottoinsieme sicuro di HTML

Recentemente ho postato questa domanda su Code Review e mi è stato raccomandato di chiederlo a voi ragazzi. Fondamentalmente, questo sarà usato per consentire agli utenti di generare contenuti formattati. Viene inserito all'interno di tag H...

posta 16.06.2014 - 08:36

4

risposte

L'XSS è possibile quando non è sfuggito, ma non viene visualizzato anche se seguito da un carattere?

Ho capito che < non è stato codificato come < . Invece, semplicemente non viene inviato dal server se viene seguito direttamente da qualcosa. Ad esempio, <a non mostrerà nulla. Ma sono in grado di visualizzare < a...

posta 09.05.2016 - 23:04

2

risposte

Dettagli recenti degli exploit XSS di Facebook

C'è stato un recente exploit XSS su Facebook che ha pubblicato un messaggio volgare e ha indotto gli utenti a fare clic su un link per diffondere il payload. Quale vulnerabilità è stata sfruttata e cosa possono fare altri siti per evitare un att...

posta 12.05.2011 - 18:57

1

risposta

Avrebbe usato Google reCAPTCHA consentire a Google di imbrogliare?

Volendo fare un ulteriore passo avanti nella riduzione della superficie di attacco dal mio modulo "registra nuovo utente", penso a utilizzare reCAPTCHA (quello offerto da Google). Avere i robot risolti da essere in grado di registrarsi e quin...

posta 12.03.2014 - 10:46

1

risposta

Tecnica XSS - & JavaScript Include

Stavo esaminando il Owasp XSS Filter Evasion Cheat Sheet , e c'era una tecnica che era completamente nuova per me: & JavaScript includes<BR SIZE="&{alert('XSS')}"> Ho provato il seguente codice HTML: <html> <...

posta 08.08.2014 - 08:29

1

risposta

Il contenuto in blocchi noscript deve essere evaso

Il titolo dice quasi tutto. Sembra controproducente sfuggire all'interno di un blocco <noscript> perché qualsiasi j che un utente malintenzionato è in grado di immettere non dovrebbe essere eseguito. Ma, sono ancora abbastanza nuovo i...

posta 13.01.2014 - 20:52

3

risposte

Quanto è grave un attacco XSS autonomo?

Alcuni di voi potrebbero avere familiarità con questo attacco chiamato XSS autonomo. Di recente mi sono imbattuto in questo articolo a riguardo. Quindi, quanto può essere pericoloso questo tipo di attacco, anche se questo non ha accesso agli a...

posta 23.12.2011 - 11:06

4

risposte

XSS utilizzando JSF ** k

Leggevo di JSf ** k . Dal loro sito web: JSF**k is an esoteric and educational programming style based on the atomic parts of JavaScript. It uses only six different characters to write and execute code. La mia domanda è: quando possiamo...

posta 15.06.2015 - 20:34

Domande con tag 'xss'