Preguntas con etiqueta 'html'

preguntas con etiqueta
2
respuestas

¿Es una llamada AJAX menos segura que el método POST normal?

Actualmente tengo un formulario de inicio de sesión estándar como este: <?php if( isset( $_POST['username], $_POST['password'] ) ) { // escape both strings and compare them to database } ?> <form action="" method="post"> &...
hecha 17.04.2018 - 13:25
1
respuesta

¿Por qué los marcos de plantillas de web HTML no escapan de todos los datos de forma predeterminada?

Recientemente descubrí una vulnerabilidad XSS en una aplicación que usa JSP para renderizar páginas. El código vulnerable en el JSP era algo como esto: <td>${customer.notes}</td> Se solucionó al escapar de la entrada controlada...
hecha 10.06.2016 - 16:05
3
respuestas

Validación de entrada: ¿cómo hacerlo si debo aceptar HTML como parte de mi entrada?

Estoy escribiendo un servicio que recibe datos FHIR y los almacena. FHIR es un formato estándar de información de atención médica HL7 que contiene HTML por definición, integrado en un JSON o XML, ( para garantizar la legibilidad humana del doc...
hecha 31.08.2015 - 16:36
1
respuesta

¿Riesgos de error de seguridad de HTML / JavaScript window.opener?

No sé si está al tanto de esta falla, pero aquí hay un ejemplo básico: somepage.html (señalando a malware.html ): <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>Test</title> </h...
hecha 09.05.2016 - 16:05
2
respuestas

¿Cuál es el propósito de los nombres de entrada de formulario dependientes del tiempo?

Este formulario de inicio de sesión sigue cambiando los nombres de sus campos: ¿Qué logra eso? ¿Contra qué tipo de ataque protege?     
hecha 13.06.2017 - 22:45
2
respuestas

¿Por qué los scripts inyectados a través de innerHTML no se ejecutan mientras que onerror y otros atributos de eventos en los elementos sí? - Google XSS Challenge 2

ALERTA DE SPOILER: no continúes si no quieres que te echen a perder Actualmente estoy haciendo el Nivel 2 del desafío XSS de Google . Estoy inyectando el código XSS que se inserta en el documento usando element.innerHTML . No enti...
hecha 12.06.2014 - 06:09
4
respuestas

¿Deshabilitaría un oficial HTML (6?) el elemento / envoltorio combatiría XSS de manera efectiva?

¿No sería posible usar un método de este tipo para envolver áreas donde se espera la entrada / salida del usuario (por ejemplo, cuadros de comentarios), de modo que incluso si un script se inyecta con éxito mediante la evasión de expresiones reg...
hecha 25.02.2016 - 07:39
2
respuestas

Cerrar una etiqueta HTML sin usar el carácter real

Actualmente estoy aprendiendo a realizar XSS en sitios web, pero hay un problema constante que sigue siendo recurrente y estoy seguro de que debe evitarse. Muy a menudo, el sitio web filtrará las comillas y / o "< >". Este no es un gran pr...
hecha 03.01.2013 - 02:11
1
respuesta

Malware a través del reproductor HTML 5

Solo por curiosidad si es posible obtener malware a través de un sitio de confianza que alberga un reproductor HTML 5. Me imagino que, dado que Chrome está en un arenero, ¿no se descarga nada a tu computadora?     
hecha 01.01.2017 - 06:19
1
respuesta

¿Cuál es el riesgo de permitir la visualización de archivos HTML arbitrarios?

Github y Bitbucket permiten archivos README en formatos como Markdown o reStructuredText, pero no en formato HTML. ¿Existe algún riesgo de seguridad al hacerlo?     
hecha 05.04.2017 - 20:22