Domande con tag 'xss'

domande con tag
1
risposta

È stato rilevato un valore Request.Path potenzialmente pericoloso dal client (&)

Stavo navigando sul Web e ho digitato un URL da visitare, quando ho ricevuto la seguente risposta: A potentially dangerous Request.Path value was detected from the client (&) Ho fatto qualche ricerca su questo errore e ho scoperto c...
posta 25.03.2018 - 23:40
1
risposta

localStorage rispetto ai cookie solo HTTP + XSRF: è meglio quando si tratta di XSS?

Se dovessi implementare un modello di connessione OpenID comune su una SPA, potrei avere la seguente relazione: Auth server <-----------> Client (browser) <-----------> App API server L'utente verrebbe reindirizzato al server di...
posta 30.11.2017 - 19:40
1
risposta

Tentativo XSS di Google Captcha su login.yahoo.net? (NoScript)

Recentemente ho provato ad accedere al mio account di posta Yahoo con ESR di Firefox dove NoScript mi ha mostrato questo avviso quando il captcha è stato mostrato al login: NoScript filtered a potential cross-site scripting (XSS) attempt fr...
posta 27.08.2017 - 22:27
1
risposta

Questa risposta è vulnerabile a xss?

La mia applicazione restituisce il parametro categoria nel corpo json come la seguente risposta .. HTTP/1.1 200 OK Content-Type: text/javascript; charset=utf-8 P3P: policyref="/w3c/p3p.xml", CP="CAO PSA OUR" Server: nginx X-frame-options: SAME...
posta 26.06.2017 - 17:55
1
risposta

Spiegazione della codifica multi-byte illegale che porta a XSS

Sto leggendo questo rapporto sulla sicurezza unicode e ho trovato confusi i seguenti paragrafi: When converting from a multi-byte encoding, a byte value may not be a valid trailing byte, in a context where it follows a particular lead...
posta 10.11.2017 - 07:17
1
risposta

Che cos'è uno schema di sfruttamento in questo attacco XSS? [duplicare]

Fondamentalmente, ho trovato un'iniezione XSS cambiando il carico utile con l'intestazione X-Forwarded-Host , poiché il suo valore si riflette nel documento e non è sterilizzato. Un esempio, questa è la fonte del documento: <a href...
posta 23.10.2017 - 21:35
1
risposta

XSS basato su DOM e il carattere "#"

Sto studiando l'attacco XSS basato su DOM. Capisco che brevemente è un attacco in cui il carico utile dell'attacco viene eseguito come risultato della modifica del DOM "ambiente" nel browser della vittima. Ma non capisco perché in molti tutorial...
posta 09.06.2017 - 22:31
1
risposta

Come fermare JS dall'esecuzione quando viene passato come parametro all'URL? (nessun tag script)

Avevo bisogno di interrompere un attacco XSS quando il carico utile è inserito nell'URL come parametro. In questo caso, tuttavia, non ci sono tag script . Questo è il mio URL che causa un attacco XSS: localhost/example/file.jsp?testParm...
posta 10.07.2017 - 22:53
2
risposte

Esiste la possibilità di iniettare XSS nella funzione jQuery attr?

Mi chiedevo se questa funzione fosse vulnerabile a XSS. var url = "google.com"; if (url.indexOf("http") != 0) { url = "http://" + url; } $("<a/>").attr("href", url); L''url' è l'input dell'utente, e <a/> verrebbe ins...
posta 23.05.2017 - 10:04
1
risposta

Attenuazione dell'XSS assicurando che nessuna lettera sia dopo una parentesi angolare [duplicato]

Ritengo che sia abbastanza sicuro attenuare l'XSS non applicando lettere / simboli speciali subito dopo la parentesi < . Come specificato nella specifica HTML , il nome del tag dovrebbe seguire < per formare un valido elemento...
posta 19.01.2017 - 11:44