Cuando realizo un pago en línea usando 3DSecure (Verified by Visa o Mastercard Securecode), NoScript me informa que tiene detuvo un script potencialmente inseguro donde el sitio A (el banco o la compañía de tarjetas de crédito) intenta ejecuta...
He identificado un XSS en la aplicación de un cliente donde no se ha podido desinfectar correctamente una variable. Sin embargo, la aplicación está escrita en ASP.NET 2.xy tienen la validación de solicitudes activada.
Soy consciente de la sig...
Una aplicación angularjs almacena la entrada del usuario en local / sessionStorage y la recupera más tarde para completar los campos del formulario o mostrar ese contenido más adelante. Si se envía un javascript como entrada del usuario, se alma...
Habiendo referenciado Diferencia entre DOM &erio; XSS reflejado
, Observé que ciertos ataques podrían ser tanto basados en DOM como Reflected XSS . Deseo saber si mi comprensión es precisa o deberían ser mutuamente excluyentes . Tengo a...
Según Hoja de trucos de prevención OWASP XSS , uno debería
Valide estrictamente los atributos no seguros, como el fondo, id y nombre
Entiendo que background podría contener data: urls y, por lo tanto, puede ser explotado...
Tengo un caso bastante complicado en el que intento realizar un ataque XSS almacenado al cargar un archivo jpg con un nombre de archivo malicioso.
El espacio en blanco se está filtrando, pero parece comillas simples y dobles junto con < &g...
Hace poco leí que el complemento Flash ignora el encabezado Content-Type en ciertas circunstancias. En particular, puede asignar a Flash una URL, y el complemento Flash buscará felizmente el contenido en esa URL y cargará todo lo que reci...
Acabo de probar google en securityheaders.io y el resultado fue D .
Google no está configurando los siguientes encabezados de seguridad
Política de seguridad del contenido
Opciones de tipo de contenido X
Política de referencia...
La OWASP XSS Prevention Worksheet recomienda "escape de URL antes de insertar datos no fiables en el parámetro HTML HTML valores ".
No entiendo cómo alguien podría salir de un contexto de URL o inyectar un nuevo subcontexto para realizar un...
Me pregunto si mi API web ASP.NET tenía una vulnerabilidad XSS ya que mi controlador no tenía un método para manejar la llamada GET predeterminada.
Sin el método GET manejado en el código, una llamada a /api/mycontroller/?<script>al...