Una imagen se puede mostrar a través de una fuente .php si la fuente tiene un encabezado adecuado (según la respuesta a esta pregunta).
Si un sitio web permite something.php como fuente de imagen y muestra la imagen (como se descri...
Encontré LFI en mi sitio web y traté de explotarlo, pero cuando uso php: // input or data: // no funciona, no puedo obtener el shell.
Ejemplo: .index.php?lang=data:;base64,PD9zeXN0ZW0oJF9HRVRbJ3gnXSk7Pz4=&x=ls -l
He encontrado...
Tengo un cuadro de texto de tamaño fijo que espera '<' y '>' Símbolos como entrada. Es un requisito para que el cuadro de texto espere '<' y '>' en su entrada, así que no puedo realizar la validación de entrada para ese cuadro de tex...
Estoy haciendo mi mejor esfuerzo para resolver este problema, no puedo crear un XSS. Aún creo que es una vulnerabilidad y creo que es explotable. Estoy frustrado por eso durante 8 días. Ayúdeme a resolver este problema y no lo marque como du...
Necesito encontrar un XSS y proponer una solución en el siguiente código:
<form action="#" method="post">
<input type="hidden" name="id" value="<?=$id?>"><br>
<textarea name="body"><?=$text?></textarea>...
En mi sitio, si tuviera que bloquear <script> de la URL, ¿podría esto prevenir algunos casos de XSS? De alguna manera alguien podría pasar por alto eso?
¿Este script es vulnerable a XSS? Si es así, ¿cómo puedo explotarlo?
<script>
//<![CDATA[
var _gaq=[['_setAccount','UA-34064858-1'],['_trackPageview']];
(function(d,t){var g=d.createElement(t),s=d.getElementsByTagName(...
¿Es posible obtener la contraseña de un sitio con XSS almacenado?
Tengo un foro donde puedo poner JavaScript no directamente, pero dentro de HTML (como <div onclick="alert()">CLICK</div> ). ¿Es posible explotar esto para obtene...
Si uno de los usos comunes de XSS es robar cookies que se enviarán al servidor del atacante, ¿no es tan fácil identificar al atacante?
Esto no es como un SQLi, por ejemplo, que puede explotar utilizando VPN y cadenas de proxy. En este caso, d...