Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

¿Javascript: las URL que comienzan con // permiten XSS?

Encontré un procesador de marcado que permite a los usuarios incluir enlaces arbitrarios, siempre que contengan un " netloc "( // después del primer : ). Debido a el myriad of explotable protocol manejadores , esta es ci...
hecha 05.02.2013 - 18:35
2
respuestas

advertencia de Facebook de self-xss

Se me ocurrió abrir recientemente la consola de mi navegador en Facebook y me saludó con el siguiente mensaje.    ¡Detente!       Esta es una característica del navegador destinada a los desarrolladores. Si alguien le dijo que copiara y pega...
hecha 25.04.2017 - 18:09
1
respuesta

¿Se puede extender este self-XSS?

Tengo un cuadro de texto que realiza una llamada a una API cada vez que el texto ha cambiado. La API devuelve JSON pero ejecuta cualquier Javascript dentro del JSON devuelto (probado con Alert ()). El valor de este cuadro de texto no es persiste...
hecha 23.11.2016 - 17:42
1
respuesta

¿Es noreferrer suficiente para asegurar los enlaces?

¿Es el uso de noreferrer suficiente para los enlaces que usan target="_blank" para evitar tabnabbing inverso Para el contexto aquí hay una explicación del problema: "Target = _blank: la vulnerabilidad más subestimada"...
hecha 16.06.2018 - 00:18
1
respuesta

¿Cuáles son los riesgos de aceptar la configuración de URL para la redirección automática?

Alguien puede nombrar todos los riesgos del siguiente escenario: El usuario visita una página, pero su sesión ha caducado, por lo que se le redirige automáticamente a la página de inicio de sesión con su página anterior y parámetros agregados...
hecha 30.08.2014 - 17:06
1
respuesta

¿Cómo debo mitigar las vulnerabilidades de XSS en KnockoutJS descritas en big-security?

El sitio Mustache-Security describe las vulnerabilidades de XSS en KnockoutJS ... Las vulnerabilidades provienen de el uso de eval (o algún equivalente) para convertir texto en el atributo de enlace de datos a script ejecutable. La mayoría de...
hecha 17.06.2014 - 17:34
1
respuesta

¿Existe algún peligro en el botón de vista previa en los blogs?

En mi blog de Wordpress (aunque esto puede ser cierto también en otros blogs), hay una función de vista previa de la página web. Entonces, cuando recibo un comentario con un enlace, puedo desplazarme sobre el enlace y me muestra una vista prev...
hecha 09.08.2013 - 12:00
3
respuestas

¿Por qué debería convertir & en la prevención de XSS?

En su REGLA # 1, OWASP sugiere que & debe estar codificado como &amp; antes de que se inserte en una página HTML. Sin embargo, en los casos a continuación: <tag>userInput</tag> <tag attribute="userInp...
hecha 08.05.2018 - 05:53
1
respuesta

XSS basado en DOM dentro del atributo src

Tengo el siguiente código de JavaScript: var url= document.location.href; document.write("<img src='?bla="+document.location.href+"'>"); Puedo insertar código cuando adjunto, p. ej. ?b=a'onX=alert(1);' a la URL, pero esto solo...
hecha 22.11.2016 - 02:33
4
respuestas

¿Es posible hacer un xss con solo etiquetas html?

No estoy al tanto de todos los trucos xss ... Durante la programación en Ruby on Rails, utiliza un método de desinfección para permitir solo ciertas etiquetas y hace Es mejor borrar todas las demás etiquetas y scripts las etiquetas resta...
hecha 03.12.2012 - 17:10