Necesito proporcionar evidencia de que CSRF o XSS es posible en un teléfono ... usando PhoneGap, una vista web o específicamente una "pestaña de Chrome" o equivalente de iOS.
Creo que, en teoría, esto es posible, y se necesita mitigación, per...
Con la introducción del encabezado HTTP X-XSS-Protection , me parece que el impacto de la vulnerabilidad (lectura: cantidad de usuarios posiblemente afectados con navegadores modernos) se reduce drásticamente.
En primer lugar, ¿esto sig...
¿Es suficiente convertir ' en ' , > en > y < en < para evitar XSS cuando se insertan datos no confiables en una cadena de JavaScript como abajo?
<script>
param='payloa...
Leí en diferentes blogs que la función PHP htmlspecialchars() tiene ciertos problemas cuando uno no da el conjunto de caracteres esperado como un parámetro opcional.
¿Alguien puede explicar algunas cosas básicas sobre las vulnerabilida...
Al tener un editor de texto enriquecido en una aplicación web, ¿cuál es la mejor manera de evitar las entidades HTML y evitar los ataques XSS pero mantener el formato ( <b> , <i> , <u> , ... etc.) ?
La OWASP XSS Prevention Cheat Sheet tiene una lista de lugares donde los datos no confiables nunca deben estar poner:
<script>...NEVER PUT UNTRUSTED DATA HERE...</script> directly in a script
<!--...NEVER PUT UNTRUSTED D...
¿Se aplica el CSP solo durante el procesamiento inicial, lo que significa que no hay cobertura continua después de que se cargue el documento? Aquí hay un ejemplo de lo que estoy hablando:
Supongamos que su página, example.com , tiene a...
Estoy buscando algunos consejos estándar sobre cómo integrar JavaScript externo en un sitio web. Por ejemplo, en mywebsite.com :
<script src='//externalsite.com/js/script.js'></script>
La cosa es: si externalsite.com...
Situación muy frustrante en un pentest que estoy haciendo actualmente: he encontrado un lugar donde puedo inyectar casi todos los caracteres en una pieza de javascript desde un parámetro.
Pero los desarrolladores web parecen tener suerte: el...
Tengo un editor de contenido en una aplicación web que permite a los administradores agregar y editar contenido en ciertas áreas de la aplicación.
El componente de editor que he usado elimina automáticamente cualquier etiqueta de script, even...