Preguntas con etiqueta 'xss'

preguntas con etiqueta
2
respuestas

XSS Riesgo para el servidor detrás del Firewall

Escenario: publicserver.com es una aplicación web de acceso público, que no filtra la entrada, lo que permite que los ataques de javascript / XSS se almacenen en la base de datos. privateserver.lan solo es accesible desde el interior de un fi...
hecha 20.01.2017 - 23:48
1
respuesta

¿Por qué los escáneres no pueden detectar el XSS almacenado? ¿Hay alguna forma de automatizar la detección de xss almacenados (persistentes)? [cerrado]

Estoy buscando desesperadamente herramientas, preferiblemente con alguna guía, también preferiblemente de código abierto, para detectar vulnerabilidades almacenadas en xss. Se observa que algunos de ellos no dan los resultados esperados con XSS...
hecha 18.10.2016 - 15:35
1
respuesta

¿Alguna de las vulnerabilidades causadas por un corto circuito del analizador XML del navegador?

He encontrado una forma de obligar a un sitio a devolver XML de tipo de contenido al navegador del usuario, aunque el contenido sea HTML. Luego, el navegador interpreta este sitio como XML y arroja un error ya que el HTML contiene Javascript que...
hecha 28.11.2016 - 18:58
1
respuesta

Etiqueta de script que carga "xss.re/692" en los datos de transacciones de comercio electrónico: ¿un ataque real o algo más?

Un sitio de comercio electrónico que ejecuté recientemente recibió una transacción sospechosa. El campo para el nombre del cliente incluía una etiqueta de secuencia de comandos, así (el nombre del cliente se cambió a John Doe para proteger el an...
hecha 31.08.2016 - 21:22
1
respuesta

¿Puede un simple comentario en WordPress dañar mi sistema (CVE-2016-4567)?

¿Qué riesgos están asociados con la vulnerabilidad de WordPress CVE-2016-4567 ?    Vulnerabilidad de secuencias de comandos entre sitios (XSS) en flash / FlashMediaElement.as en MediaElement.js antes de 2.21.0, tal como se usa en WordPress a...
hecha 01.06.2016 - 02:19
1
respuesta

Consulta de Xss basada en Dom - location.hash

Solo estaba mirando xss basado en Dom y preguntándome si el valor de hash está escrito en una variable en el contexto de JavaScript puede llevar a las secuencias de comandos entre sitios. El código se ve algo como esto: <script> var myha...
hecha 22.06.2015 - 06:39
1
respuesta

Posibles problemas cuando una o más cookies no son HttpOnly

Tengo una pregunta relacionada con la cookie HttpOnly. El seguimiento de otros subprocesos no fue de mucha ayuda, por lo tanto, estoy publicando mi consulta aquí para saber si puede prever algún problema con mi comprensión. Hay un sitio web,...
hecha 25.06.2015 - 05:29
2
respuestas

¿Es realmente realmente sencillo prevenir la inyección XSS / HTML?

Un colega me sugirió solo para evitar que aparezcan caracteres de letra inmediatamente después de un corchete de ángulo de apertura como una forma de protegerse contra la inyección de XSS y HTML. Obviamente, esto no evita problemas como: &l...
hecha 07.11.2014 - 11:16
3
respuestas

Es CSP suficiente para prevenir ataques XSS [duplicado]

Suponiendo que los usuarios utilizan navegadores modernos, ¿es suficiente implementar una política estricta de CSP para evitar todos los ataques XSS? Estoy trabajando en una aplicación Backbone, y me pregunto si todavía tengo que ser datos...
hecha 22.04.2015 - 12:16
1
respuesta

¿Cuáles son algunas etiquetas y cargas útiles para la inyección de HTML en sitios protegidos por CSP?

Estoy probando un sitio web que corrigió la mayoría de sus vulnerabilidades de XSS simplemente agregando una Política de seguridad de contenido. Todavía hay inyecciones de HTML en varios lugares. He intentado obtener un archivo que contiene Java...
hecha 13.04.2015 - 10:55