Preguntas con etiqueta 'xss'

4
respuestas

¿Cómo funciona XSS? [cerrado]

Tengo muy poca experiencia en desarrollo web, pero me interesa la seguridad. Sin embargo, no he entendido completamente cómo funciona XSS. ¿Se lo puedes explicar a med? El artículo de Wikipedia me da una buena idea, pero no creo que lo entienda...
hecha 28.12.2010 - 17:58
9
respuestas

¿Por qué es peligroso abrir un correo electrónico sospechoso?

Me gustaría saber por qué se considera peligroso abrir un correo electrónico de una fuente desconocida. Estoy usando Gmail y pensé que no es seguro descargar un archivo adjunto y ejecutarlo. Lo primero que me vino a la mente fue qué pasarí...
hecha 05.09.2016 - 10:10
8
respuestas

¿Qué podría hacer un "img src=" XSS?

La mayoría de los WAF cuando bloquean XSS bloquearán etiquetas obvias como script y iframe , pero no bloquean img . Teóricamente, puedes img src='OFFSITE URL' , pero ¿qué es lo peor que puede pasar? Sé que puedes roba...
hecha 01.09.2016 - 02:42
1
respuesta

Indicar al navegador que mi sitio no tiene scripts

He creado un sitio de servicio oculto de Tor que no tiene absolutamente ningún JavaScript u otros tipos de scripts del lado del cliente. La página es HTML, CSS, imágenes y algunos JSP para manejar las entradas de los usuarios. Aliento a los u...
hecha 03.06.2016 - 13:22
6
respuestas

¿La inyección de valores de cadena de consulta directamente en HTML supone un riesgo para la seguridad?

Alguien informó de un error en mi sitio que realmente no considero un problema. Mi sitio tiene una URL similar a esta: www.site.com/ajax/ads.asp?callback=[text injection] Por lo tanto, el tipo de archivo es application / json, y no veo cómo...
hecha 14.12.2014 - 22:06
4
respuestas

¿Por qué las sesiones no son exclusivas de una dirección IP?

Dada la vulnerabilidad XSS apropiada, un atacante puede secuestrar la sesión de alguien con los datos que se transfieren hacia y desde el servidor. ¿Por qué las sesiones no son siempre exclusivas de la IP en la que se iniciaron? es decir, ¿cu...
hecha 17.10.2016 - 10:43
5
respuestas

vulnerabilidad de etiqueta IMG

¿Es seguro mostrar imágenes de dominios arbitrarios? Es decir. digamos que tengo una imagen en mi página: <img src="http://badguy.com/image.gif" /> ¿Qué pasa si image.gif devolverá algún vector de ataque js, pero no la imagen?...
hecha 25.05.2013 - 01:12
5
respuestas

¿Nueva hoja de trucos de XSS? [cerrado]

Hay una gran lista de vectores XSS disponibles aquí: enlace , pero no ha cambiado mucho últimamente (por ejemplo, La última versión FF mencionada es 2.0). ¿Hay alguna otra lista tan buena como esta, pero actualizada?     
hecha 12.11.2010 - 09:14
3
respuestas

¿Cómo CORS previene XSS?

Recientemente me enteré de CORS y obtuve el la impresión de que su propósito es evitar XSS . Con CORS, el navegador bloquea las solicitudes a diferentes dominios, a menos que haya encabezados en su lugar. Pero si una persona con intencio...
hecha 23.12.2015 - 14:24
1
respuesta

¿Por qué las cadenas XSS a menudo comienzan con "?

Una de las formas en que se puede explotar XSS es usar la siguiente etiqueta: "><script>alert(document.cookie)</script> Aquí, ¿cuál es el significado de "> antes del script (etiqueta <script> ) y por qué...
hecha 28.12.2016 - 06:35