Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

¿Existe una base de datos con vectores XSS, posible referencia e información de prueba?

Hace poco tuve la idea de desarrollar una base de datos pública en la que se registraran vectores únicos de scripts entre sitios (XSS) y se asigne una referencia similar al sistema CVE. Ya hice un PoC local y registré un dominio adecuado para...
hecha 26.07.2016 - 17:30
1
respuesta

Los fragmentos de código JS en mi proyecto en vivo no aparecen en mi código que reside en mi servidor de producción

Tengo un proyecto de sitio web de Django que está activo (llamémoslo example.com). Es un foro donde los usuarios pueden enviar comentarios y responderlos. Tiene una base de datos Postgresql y un proxy inverso gunicorn + nginx como el servidor we...
hecha 16.02.2016 - 15:45
2
respuestas

JavaScript eval () para analizar JSON después de la desinfección con expresiones regulares. ¿Es posible XSS?

¿Es posible omitir mi expresión regular y ejecutar cualquier JavaScript? <script> function json(a){ if (/^\s*$/.test(a) ? 0 : /^[\],:{}\s\u2028\u2029]*$/.test(a.replace(/\["\\/bfnrtu]/g, "@").replace(/"[^"\\n\r\u2028\u2029\x00...
hecha 06.02.2013 - 07:41
7
respuestas

Mejores prácticas actuales para prevenir ataques XSS persistentes

Tengo un campo de texto que le permite al usuario escribir lo que quiera. Después de guardar, los resultados se muestran más tarde en la pantalla para potencialmente muchas personas. XSS me parece un poco a la magia negra, por lo que me pregu...
hecha 31.08.2012 - 00:39
3
respuestas

Riesgo XSS para una aplicación a la que solo se puede acceder desde localhost

Tengo una aplicación web que se puede utilizar a través de un navegador. Se puede acceder a la aplicación web solo en localhost. No es posible el acceso remoto. Una herramienta de seguridad descubrió un problema de XSS. Ahora, si esta aplicación...
hecha 22.01.2013 - 11:22
4
respuestas

¿Una forma eficiente de encontrar vulnerabilidades XSS?

Manera manual (confiable) : coloque una cadena con caracteres que tienen un significado especial en HTML en algún parámetro de la solicitud HTTP, busque esta cadena en la respuesta HTTP (y posiblemente) en otros lugares donde se representa . Si...
hecha 20.09.2012 - 11:04
2
respuestas

¿Las sesiones de PHP se basan en cookies o en un par de cookies-IP?

Tengo un sitio web de PHP y mi pregunta es: Si alguien logra robar las cookies de mis usuarios a través de un ataque XSS, ¿Es suficiente para él ser identificado como el usuario? ¿O su IP también tiene que ser la misma que la del usuario qu...
hecha 24.08.2011 - 15:17
2
respuestas

¿Es posible capturar todas las cookies de diferentes sitios web con un solo ataque XSS?

Me preguntaba si es posible capturar todas las cookies de diferentes sitios web a través de un ataque XSS. Por ejemplo, supongamos que Twitter tiene una vulnerabilidad XSS que un atacante ha explotado. ¿El atacante podría capturar todas las cook...
hecha 13.04.2017 - 13:03
2
respuestas

¿Deberían filtrarse todos los elementos de salida o solo aquellos que contienen datos editables por el usuario? [duplicar]

Estoy revisando una aplicación heredada que actualiza SQL para evitar inyecciones y vulnerabilidades XSS. Sé que para aplicar PHP 's htmlspecialchars() todo lo que se pasa directamente a un script y se muestra en una página. ¿...
hecha 12.11.2014 - 15:11
3
respuestas

scripts XSS en la consola

Bueno, necesito saber ¿es posible ingresar el script xss a través de la consola de las herramientas del desarrollador (por ejemplo: firebug of firefox)? ¿Es esta una forma adecuada?     
hecha 07.11.2013 - 06:17