Preguntas con etiqueta 'xss'

2
respuestas

¿Libro de PHP moderno, consciente de la seguridad?

Después de crear un sistema de inicio de sesión simple y tratar de protegerlo contra cosas como la inyección de SQL, el secuestro de sesión, XSS, etc., descubrí que realmente disfruto haciendo este tipo de cosas. Me gustaría recoger un libro y p...
hecha 17.07.2013 - 17:41
1
respuesta

¿La forma correcta de protegerse contra XSS, cuando la salida está directamente en JS no en HTML?

Veo muchos ejemplos cuando la salida va directamente a HTML, pero veo más información conflictiva cuando la salida va directamente a JS. Por ejemplo, si el código era: var thisIsATest = '<?php echo $_GET['a']; ?>'; Y el vector de a...
hecha 09.01.2016 - 00:41
2
respuestas

Restrict JS en SVGs

¿Alguien sabe de alguna manera de evitar que JS se ejecute dentro de un SVG o que elimine JS de un SVG? En mi caso de uso, prefiero mantener la imagen como SVG y no convertirla a JPG. He pensado en eliminar las etiquetas de script y los atributo...
hecha 12.01.2018 - 09:16
3
respuestas

Redirección de Favicon Posible falla de seguridad

Tengo el dominio example.com Cuando ingreso la URL enlace , Chrome carga la página y también intenta cargar enlace , y esa solicitud recibe un redireccionamiento 301 a ** http: //**main.example.com, y recibe el contenido HTML del mismo....
hecha 07.05.2015 - 15:29
1
respuesta

¿Cómo inserto de forma segura una etiqueta img utilizando una URL dada por el usuario?

Si hipotéticamente quisiera permitir que los usuarios usen un avatar de una URL arbitraria como esta: <img class="avatar" src="{user input}" /> Hay muchos problemas que se me ocurren: Hay data uris , por lo que poten...
hecha 11.05.2015 - 15:41
4
respuestas

¿Qué es un buen navegador para las pruebas de lápiz de aplicaciones web? [cerrado]

Estoy comenzando a probar aplicaciones web y tengo problemas para verificar vulnerabilidades. Parece que todos los navegadores modernos tienen protecciones contra cosas como XSS. Cuando algo como Burp encuentra una vulnerabilidad XSS, nunc...
hecha 25.08.2014 - 11:18
4
respuestas

¿Qué hace scorecardsresearch.com/beacon.js (agregado por Disqus.com)?

Recientemente agregué Disqus a mi sitio. Al mirar la pestaña "scripts" en Firebug, noté un script llamado, enlace ( aquí hay una versión prectificada (no se puede acceder al script directamente a través de la url proporcionada). ¿Qué hace...
hecha 24.12.2012 - 04:47
4
respuestas

Escapando las constantes de JavaScript

¿cómo pueden incluirse valores no confiables en una página html como constantes de cadena de javascript? Aunque el caso que estoy preguntando utiliza JSF y Rails, creo que este es un problema general independiente del marco del lado del servidor...
hecha 23.12.2010 - 19:53
3
respuestas

Probando la inyección de formularios PHP

Estoy escribiendo una aplicación PHP muy pequeña que recibe información a través de un formulario. Como podría esperarse para una primera revisión, el código no escapa ni se desinfecta la información: if( $_POST["var"] != "" ) { print "Cur...
hecha 17.02.2011 - 01:48
4
respuestas

¿ModSecurity predeterminado protege lo suficiente contra XSS?

Han pasado algunos años desde que me deshice de modsecurity ... ¿La simple instalación del paquete con las reglas predeterminadas proporcionará suficiente validación para evitar cualquier tipo de XSS (bueno, seamos honestos, lo mejor que pode...
hecha 10.04.2011 - 12:50