Estoy haciendo una prueba de un sitio web que tiene un XSS reflejado, o al menos un vector para una reflexión, pero el problema es el siguiente:
Escapa a < , > , " a sus entidades HTML, pero no a & , )...
¿Por qué tantas personas usan diferentes definiciones (ataque o vulnerabilidad) para XSS?
Creo que XSS es un ataque, que explota una vulnerabilidad de filtrado insuficiente. Estoy en lo cierto
La respuesta a esta pregunta debe explicar de for...
Este OWASP
artículo mencionado que
"Al utilizar la validación de datos, solo se puede detectar y prevenir el XSS reflejado, no se puede detectar el XSS persistente, el XSS basado en DOM solo debe tener un grado limitado si parte del ataque se...
Hay una nueva técnica de inyección de Javascript que genera chatter en los foros mencionados aquí
Aquí está el ejemplo del código:
String.prototype.code = function(){ return (new Function('with(this) { return ' + this + '}' )).call({}); }...
No estoy seguro si lo que estoy diciendo tiene sentido ... pero ¿es posible para mí modificar una variable $ _SESSION desde fuera del script PHP de destino?
Uno de nuestros scripts utiliza una variable $ _SESSION y no estoy seguro de si es vu...
Cuando desarrollo un sitio, siempre estoy consciente de fallas de seguridad, pero me cuesta ver cómo se podría usar un cuadro de búsqueda para inyectar un script que podría ejecutarse en una página mía.
Así que entiendo que, a partir de la fa...
Primero pregunto, ¿hay una definición absoluta? He hecho un poco de Google y parece que todos dicen algo diferente.
En SO dice una persona
Existe una vulnerabilidad XSS siempre que una cadena fuera de su
La aplicación puede inte...
Ha pasado bastante tiempo desde que he jugado con las vulnerabilidades de secuencias de comandos entre sitios, pero hoy me encontré con un sitio web que pedía una vulnerabilidad básica de XSS.
Así que obedientemente escribí:
http://example....
Hay una aplicación web que contiene una función de búsqueda. Cuando busco aaaaaaaaxss , obtengo esto:
<meta property="the:property" content="100 Results for aaaaaaaaxss (Page 1)" />
Elimina los caracteres < y...
En un ataque XSS (prueba de concepto por razones de prueba de la pluma), la siguiente cadena se adjunta a una url:
;alert(String.fromCharCode(88,83,83));(1
Entiendo lo que hace ;alert(String.fromCharCode(88,83,83)) (solo crea un diál...