Preguntas con etiqueta 'xss'

2
respuestas

¿Pueden los parches XHR evitar los efectos secundarios de XSS?

XSS & Aplicaciones de una sola página Estoy investigando sobre seguridad web, y he visto que autenticación basada en token es buena para la prevención de CSRF, las arquitecturas de sistemas distribuidas y el rendimiento de procesamien...
hecha 05.06.2016 - 06:49
2
respuestas

Problema en underscore.js con "nueva función ()" cuando se establece el encabezado CSP

En underscore.js, la representación de la plantilla provoca la violación de la propiedad 'unsafe-eval', con un error de CSP en la siguiente línea: render = new Function(settings.variable || 'obj', '_', source); La solución a esto en algunos...
hecha 06.05.2015 - 09:23
3
respuestas

Recibo de lectura por correo electrónico a través de XSS

Recientemente me topé con una forma realmente tonta / insegura pero interesante para obtener un recibo de lectura de un correo electrónico. No estoy 100% seguro de que el método en uso funcione, razón por la cual lo pregunto aquí. G-mail no t...
hecha 10.10.2012 - 15:28
1
respuesta

Previniendo XSS para la API REST

Tengo una API REST de primavera y un proyecto de cliente. La página HTML de proyectos del cliente utiliza las llamadas jquery ajax para obtener datos de la API REST mediante el formato json o xml. Mi pregunta es evitar los ataques XSS en una pág...
hecha 28.10.2013 - 07:55
4
respuestas

Hash de la Política de Seguridad del Contenido del script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Sin embargo, todavía recibo en Chrome:  ...
hecha 27.05.2014 - 03:42
1
respuesta

¿En qué situaciones puede element.setAttribute permitir XSS?

Burp ha identificado una vulnerabilidad potencial de DOM XSS:    La aplicación puede ser vulnerable a los scripts entre sitios basados en DOM. Los datos se leen desde window.location.href y se pasan a la función 'setAttribute ()' de un elemen...
hecha 14.10.2016 - 11:30
3
respuestas

¿Cualquier controlador de eventos que se aplique a elementos ocultos?

Estoy intentando hacer un campo de búsqueda XSS y mi vector de ataque se refleja de la siguiente manera: <input type="text" id="txtRpHiddenKeyword" style="display: none;" value="ATTACK VECTOR HERE" /> Solo se permiten comillas dobles...
hecha 20.12.2013 - 14:03
2
respuestas

Drupal filtra XSS con expresiones regulares. ¿Qué podría evitarlo?

Drupal filtra las cadenas HTML contra ataques XSS usando expresiones regulares: enlace Sin embargo, como mucha gente sabe, HTML no se puede analizar con expresiones regulares . Lo que me hace pensar que la función filter_xss podr...
hecha 02.11.2012 - 16:43
3
respuestas

problemas de seguridad en el almacenamiento JWT

Estoy creando un mecanismo de inicio de sesión JWT para un sitio. Hay dos opiniones muy opuestas sobre cómo almacenar el JWT. Stormpath jura por las cookies httponly: enlace Auth0 jura por localStorage: enlace Al principio me puse del...
hecha 12.01.2017 - 13:41
2
respuestas

hojas de estilo personales

En referencia a esta pregunta , estaba investigando si habría o no seguridad riesgos al permitir a los usuarios agregar sus propias hojas de estilo. Muestra un escenario en el que un desarrollador puede usar posiciones para reemplazar el cam...
hecha 15.12.2015 - 06:23