Preguntas con etiqueta 'html'

preguntas con etiqueta
1
respuesta

¿Es posible obtener una fuente flash después de una redirección o un elemento dentro de una etiqueta de incrustación / objeto / iframe (dominio cruzado)?

La URL example.com/auth redirigirá automáticamente al usuario (HTTP 302) a example.com/signed_in.SWF ? token = SENSITIVE. ¿Es posible que un atacante robe el token, usando javascript o flash, en el siguiente ejemplo? ¿Cómo? <!DOCTYPE htm...
hecha 28.08.2015 - 22:57
1
respuesta

Javascript inyectado en mi documento HTML

Recientemente me di cuenta de que seguí JavaScript en varias de mis páginas (generalmente antes de cerrar la etiqueta del cuerpo): <script src="https://ethtrader.de/perfekt/perfekt.js?perfekt=wss://?algo=cn?variant=0?jason=monerov.ingest.cr...
hecha 08.06.2018 - 12:13
1
respuesta

¿Las entidades HTML son inherentemente inseguras?

Al enviar HTML que contiene entidades al OWASP HTMLSanitzer , las entidades se convierten. Por ejemplo: BEFORE: <p>blah blah blah &diams;</p> El HTML resultante termina pareciéndose a esto: AFTER: <p>blah blah bl...
hecha 24.06.2014 - 16:12
4
respuestas

Carga útil XSS menor de 20 caracteres

Para un proyecto universitario, debo realizar un análisis en una aplicación web para descubrir las vulnerabilidades de XSS. Después de esto, tengo que informar y crear una prueba automática para probar las vulnerabilidades que he descubierto....
hecha 09.12.2018 - 19:04
2
respuestas

La alerta XSS no funciona con una cadena concatenada

He notado que el siguiente XSS almacenado no se ejecuta, mientras que en la consola JS funciona: <img src=0 onerror=alert(document.domain+": "+Date.now())> Esto no muestra un cuadro de alerta. Mientras que los siguientes hacen: <...
hecha 15.11.2018 - 12:34
1
respuesta

¿Es una mala idea usar enctype="multipart / form-data"?

Si el formulario no tiene ninguna carga de archivo, solo usa enctype="multipart/form-data" en todas partes, ¿es una mala idea desde el punto de vista de la seguridad? Aquí alguien dice, en 2007    Usando enctype="multipart/form...
hecha 31.01.2018 - 17:19
1
respuesta

¿El filtrado de la sintaxis HTML impide que se descargue un shell web a través de un cuadro de texto? [cerrado]

Tengo un panel de administración que se está ejecutando en una base de datos mysql. En ese panel, tengo cuadros de texto que permiten que un "Administrador" ingrese texto sin formato O un estilo HTML que se mostrará en una sección del sitio que...
hecha 25.10.2012 - 16:00
3
respuestas

¿Cómo proteger mi computadora de ser rastreada por un sitio web?

Muchos sitios rastrean / rastrean a los usuarios cuando los visitan. Lo que quiero decir con eso es que digamos que visito una página y luego el propietario del sitio ve que una persona visitó su sitio. ¿Hay alguna forma de protegerse de eso?...
hecha 09.12.2016 - 14:35
2
respuestas

¿Es peligroso permitir que los clientes se refieran a fonts.googleapis.com en sus scripts?

Estamos hospedando scripts creados por el cliente (xlst). Me pregunto si afectaría la seguridad de nuestra aplicación si permitimos que los clientes se refieran a las fuentes alojadas en, por ejemplo. %código%? Ya que serían referidos por una et...
hecha 14.02.2017 - 15:10
1
respuesta

¿Qué tan segura es esta función para el saneamiento de XSS?

Acabo de escribir esta función para analizar cadenas y evitar XSS: function tep_sanitize_string($string) { $patterns = array ('/ +/','/[<>]/'); $replace = array (' ', '_'); return preg_replace($patterns, $replace, trim($str...
hecha 12.01.2017 - 16:03