El artículo I'm Recoger números de tarjeta de crédito y contraseñas de su sitio. A continuación, se explica cómo. describe las fases de un ataque teórico en el que un atacante puede pasar por alto un CSP estricto y eliminar información confide...
Información de fondo
- La aplicación responde a la solicitud a una URL en particular con content-type: application/json
La respuesta JSON contiene un parámetro de la solicitud
Escapa de la cita con una barra inclinada
No hace una...
Un scripter ve en ciertas páginas web que es técnicamente posible incluir marcas como HTML y CSS / JS. Es técnicamente posible enviar un javascript o iframe y mostrarlo al visitante que ejecuta un javascript que podría ser cualquier javascript....
Tengo un cuadro de entrada con maxlength=12 , y ese cuadro de entrada es vulnerable a xss.
Pero debido a maxlength 12, no es posible construir ningún vector xss realmente válido. La entrada del usuario se almacena en el atributo valu...
Además de escanear los archivos cargados por el usuario, también me gustaría asegurarme de que los formularios para perfiles de usuario, comentarios, etc. no puedan ser utilizados incorrectamente para enviar un script malicioso. ¿Cuáles son algu...
Este es mi código fuente:
<!DOCTYPE html>
<html>
<head>
<title>XSS</title>
<script src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-3.2.1.min.js"></script><script>varoutput="";
<...
Estaba leyendo "The Tangled Web" (un libro que estoy disfrutando mucho) y tengo una duda en el siguiente extracto extraído de él: -
When Handling User-Controlled Filenames in Content-Disposition Headers
If you do not need non-Latin character...
He estado leyendo sobre la reparación de ataques CSRF. Según algunas investigaciones, entiendo que buscar un encabezado no estándar evitaría los ataques CSRF ya que el navegador no se enviará automáticamente tales encabezados
Asumí que re...
He implementado esta solución de desinfección:
function san($str, $type="full") {
switch ($type) {
case "full":
$str = preg_replace("/[^a-zA-Z0-9_\-]/i", "", $str);
break;
case "mid":
$str =...