Preguntas con etiqueta 'html'

preguntas con etiqueta
2
respuestas

¿Es realmente realmente sencillo prevenir la inyección XSS / HTML?

Un colega me sugirió solo para evitar que aparezcan caracteres de letra inmediatamente después de un corchete de ángulo de apertura como una forma de protegerse contra la inyección de XSS y HTML. Obviamente, esto no evita problemas como: &l...
hecha 07.11.2014 - 11:16
1
respuesta

¿Cuáles son algunas etiquetas y cargas útiles para la inyección de HTML en sitios protegidos por CSP?

Estoy probando un sitio web que corrigió la mayoría de sus vulnerabilidades de XSS simplemente agregando una Política de seguridad de contenido. Todavía hay inyecciones de HTML en varios lugares. He intentado obtener un archivo que contiene Java...
hecha 13.04.2015 - 10:55
1
respuesta

¿Es seguro el src de un iframe para la entrada del usuario?

<iframe sandbox="allow-scripts allow-same-origin" src="javascript:alert(1)"> ¿Me gustaría saber si el atributo src de un iframe es seguro para la entrada del usuario? Encontré esta pregunta , pero mi duda es que probé el...
hecha 06.04.2017 - 03:32
1
respuesta

Intentando encontrar un XSS, ¿por qué no se ejecuta esta pieza? [duplicar]

Hevistoqueestostiposdeinstanciasocurrenconmuchafrecuencia,ytengocuriosidadporsaberporqué(inclusosinunfiltro)noseejecutarán...yaqueelcódigoestájustoahí.Cadavezqueocurreesto,henotadoquecuandoinspeccionasencualquierherramientadedesarrollolasetiq...
hecha 21.03.2017 - 18:42
3
respuestas

¿Por qué no podemos copiar los campos de contraseña?

En la mayoría de los sitios web, no puede copiar desde un campo de contraseña. Además, en la mayoría de los sitios web, si inspecciona el campo de contraseña (Google Chrome), puede ver fácilmente el contenido del campo en el código. Si solo p...
hecha 24.01.2017 - 22:26
3
respuestas

¿Por qué los navegadores no son fiables y bloquean los elementos emergentes?

Tanto en Chrome como en Firefox no puedo bloquear de forma confiable las ventanas emergentes sin extensiones. Aunque ambos navegadores vienen con estas configuraciones, parece que hay formas de evitar este comportamiento. Ahora porque es eso?...
hecha 04.03.2017 - 06:26
2
respuestas

¿Cómo evito que se agregue javascript adicional al kiosco HTML en el espacio público?

Estoy planeando un proyecto que debe ser compatible con PCI, pero estoy atascado en una vulnerabilidad en particular y no puedo pensar en una forma de protegerme contra él. El escenario es que hay un quiosco instalado en una ubicación pública...
hecha 04.12.2015 - 03:33
1
respuesta

¿Cómo puedo realizar con éxito un ataque xss en un sitio web ficticio? [cerrado]

en mi curso de seguridad, nos dijeron que practicáramos un ataque xss con firefox en este sitio web; http://permalink.co/ No se preocupe, este es un sitio web configurado específicamente para que practiquemos la seguridad. El ca...
hecha 10.03.2015 - 17:35
1
respuesta

Qué métodos se pueden usar para evitar que el navegador (específicamente IE11) almacene las credenciales / autocompletar

Pasamos por la prueba de la pluma y se nos pidió que desactiváramos la función de autocompletar en nuestros campos de pago CC. Intentamos agregar autocomplete=off y también probamos false en la entrada presentada. UNA ¿Alguna su...
hecha 04.03.2015 - 00:09
1
respuesta

Desinfectar valores de atributos HTML específicos contra XSS

Queremos implementar un "modo seguro" en un analizador de Markdown llamado Parsedown . Tenemos una opción MarkupEscaped que deshabilita la entrada de HTML, pero esto no es suficiente. Para estar seguro, el analizador necesita sanear los...
hecha 24.01.2015 - 22:18