Preguntas con etiqueta 'html'

2
respuestas

¿Cómo omitir la función htmlentities () en PHP para obtener un XSS?

Aquí está la función de filtro PHP con la que estoy tratando: function xss_check_2($data) { return htmlentities($data, ENT_QUOTES); } El código fuente de la salida (la salida es el nombre, Peter Wazinck, en la parte inferior): <...
hecha 21.12.2017 - 20:43
2
respuestas

¿Se puede explotar de alguna manera importante el control del contenido de una propiedad de la URL de CSS?

En un sitio noté que estoy comprobando que cuando guardas la configuración de tu perfil después de cambiarla, uno de los parámetros en la solicitud POST es avatar_url. Me di cuenta de que podía repetir la solicitud POST y cambiar este avatar_...
hecha 02.04.2018 - 23:05
1
respuesta

¿Es seguro llamar a un servicio no confiable con jquery.ajax y dataType 'jsonp'

Por lo que entiendo, la técnica JSON-P genera una etiqueta de script en el DOM de una página HTML para conocer las restricciones de origen único impuestas en la API de JavaScript XMLHttpRequest para llamadas AJAX a servicios web que no admiten...
hecha 10.07.2014 - 18:04
1
respuesta

Sitio inaccesible con las cookies desactivadas en el navegador [cerrado]

Cada vez que accedo a mi sitio web con las cookies desactivadas en el navegador, me redirige a una página de soporte de Google que me informa que permita las cookies. Mi sitio web es simple (un blog) HTML y CSS y no almaceno ni pido datos a los...
hecha 08.12.2018 - 16:51
2
respuestas

¿Contra qué ataques protege la Política de seguridad de contenido basi-uri?

He leído en base-uri y la etiqueta de base HTML , pero ¿qué es exactamente el base-uri CSP que debe protegerse contra?     
hecha 01.08.2018 - 22:23
1
respuesta

Cómo almacenar un token de acceso de usuario en un sitio de terceros en la parte delantera

Estoy trabajando en un plugin de wordpress que proporciona un sistema de hilos de comentarios como disqus (pero diferentes). Para iniciar sesión (para publicar comentarios), el flujo de trabajo es así: El usuario hace clic en el inicio de...
hecha 03.09.2018 - 13:28
1
respuesta

¿Es seguro abrir documentos con fuentes e imágenes incrustadas / vinculadas?

Hubo algunos exploits del kernel y CVEs (por ejemplo, ms11-087 y CVE-2017-8682 ) sobre fuentes. Y hubo algunas campañas de malware como duqu que usaban zerodays en fuentes incrustadas en archivos docx. Me pregunto si es seguro abrir archiv...
hecha 03.02.2018 - 08:47
1
respuesta

¿Cómo manejan los navegadores document.write en este caso XSS basado en DOM?

OWASP menciona el siguiente ejemplo de código vulnerable a un ataque XSS basado en DOM: Select your language: <select><script> document.write("<OPTION value=1>"+document.location.href.substring(document.location.hre...
hecha 11.05.2018 - 01:12
1
respuesta

¿Responder a mi inyección html?

Estoy practicando inyección de HTML en el sitio web de mis amigos (él sabe que estoy practicando). Así que encontré una vulnerabilidad si escribo <!----> en el cuadro de búsqueda, el nombre de usuario o la contraseña del sitio web l...
hecha 21.02.2017 - 08:45
3
respuestas

¿Hay alguna forma de detectar la página de Phishing y engaño (ingeniería social)?

Soy programador y tengo un sitio web que permite a los usuarios cargar sus sitios web HTML. El usuario comprimirá una carpeta y luego la subirá a mi sitio web, donde aparecerá como subdominio. No permito archivos PHP o alguna otra extensió...
hecha 15.12.2016 - 11:25