Preguntas con etiqueta 'html'

preguntas con etiqueta
2
respuestas

Soluciones para: reconocimiento del historial de CSS visitado

Hace varios años era posible utilizar a:visited { background: url('/log.php'); } para averiguar qué usuario del sitio web ha sido anteriormente. Pero ahora está restringido por los navegadores. ¿Hay alguna otra manera de saber qué sitios...
hecha 31.07.2012 - 02:39
1
respuesta

¿Es necesario aplicar el encabezado de seguridad de transporte estricto (HSTS) a páginas que no sean 200 de respuesta (por ejemplo, 403, 302)

Tengo una aplicación que está protegida por Cloudflare. La aplicación responde con un HSTS en todas las demás páginas, excepto el estado HTTP 403 Prohibido y 302 Movido temporalmente. Parece que Cloudflare es el responsable de ello. También hay...
hecha 13.07.2018 - 16:24
5
respuestas

está convirtiendo '' a '<' ¿Es suficiente para evitar la ejecución de JavaScript desde HTML arbitrario?

Esta es una especie de pregunta de apuesta. Un conocido mío ha afirmado que, dado un globo arbitrario de HTML, se puede evitar que completamente se ejecute JavaScript si, antes de incluirlo en una página web, reemplaza todas las instancias de...
hecha 26.11.2014 - 03:45
1
respuesta

¿Por qué se permite que una ventana secundaria cambie la ubicación de su padre?

Tal vez una pregunta tonta. Al abrir una nueva pestaña a través de target="_blank" , la página que se carga en esa pestaña puede establecer una nueva ubicación en la pestaña principal mediante: window.opener.location.replace('http://www....
hecha 20.01.2015 - 15:24
1
respuesta

¿Puede un atacante forzar a un navegador a usar el modo peculiaridades para representar una página?

Durante un pentest, he encontrado una vulnerabilidad potencial en una página web, pero solo se puede explotar en el modo de peculiaridades . La página comienza con <!doctype html> , que activa el modo estándar , por lo que a pri...
hecha 22.02.2018 - 22:56
1
respuesta

¿Es noreferrer suficiente para asegurar los enlaces?

¿Es el uso de noreferrer suficiente para los enlaces que usan target="_blank" para evitar tabnabbing inverso Para el contexto aquí hay una explicación del problema: "Target = _blank: la vulnerabilidad más subestimada"...
hecha 16.06.2018 - 00:18
5
respuestas

Compartir resultados de escaneo de Nmap en una página web [cerrado]

¿Existe una herramienta que permita compartir los resultados del escaneo de nmap? Sé que nmap puede producir XML y puedo convertirlos fácilmente en HTML. Me gustaría saber si hay una herramienta con más funciones. Por ejemplo, una página web...
hecha 16.04.2013 - 16:54
4
respuestas

¿Es posible hacer un xss con solo etiquetas html?

No estoy al tanto de todos los trucos xss ... Durante la programación en Ruby on Rails, utiliza un método de desinfección para permitir solo ciertas etiquetas y hace Es mejor borrar todas las demás etiquetas y scripts las etiquetas resta...
hecha 03.12.2012 - 17:10
4
respuestas

¿Es esto un ataque y cómo puedo solucionarlo?

No sé por dónde empezar a buscar en el foro los hilos existentes que puedan cubrir mis problemas. Hace poco recibí un correo electrónico falso que simulaba ser de un cliente para el que acabo de comenzar a realizar algunos trabajos básicos de...
hecha 20.08.2014 - 07:38
2
respuestas

¿Deberían filtrarse todos los elementos de salida o solo aquellos que contienen datos editables por el usuario? [duplicar]

Estoy revisando una aplicación heredada que actualiza SQL para evitar inyecciones y vulnerabilidades XSS. Sé que para aplicar PHP 's htmlspecialchars() todo lo que se pasa directamente a un script y se muestra en una página. ¿...
hecha 12.11.2014 - 15:11