Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

XSS en área de texto cuando y no están permitidos?

Estoy intentando realizar XSS en el punto de inyección marcado con XXXX aquí: <textarea name="billing[something]" id="billing-something" rows="1" type="phone" title="something" placeholder="something" cols="80">XXXX</textarea&...
hecha 20.04.2018 - 11:51
1
respuesta

BeEF XSS - trabajo interno

Estoy estudiando BeEf XSS ya que creo que es una herramienta muy interesante para un probador de penetración, pero tengo algunas dudas al respecto, en particular al vincularlo con la Solicitud de dominio cruzado. Por lo tanto, de alguna maner...
hecha 18.04.2018 - 11:02
1
respuesta

Desinfectar valores de atributos HTML específicos contra XSS

Queremos implementar un "modo seguro" en un analizador de Markdown llamado Parsedown . Tenemos una opción MarkupEscaped que deshabilita la entrada de HTML, pero esto no es suficiente. Para estar seguro, el analizador necesita sanear los...
hecha 24.01.2015 - 22:18
1
respuesta

¿Se puede usar un filtro de servlet de Java para extraer scripts que no están en la lista blanca?

Podría estar haciendo una pregunta similar a esta: Lista blanca de elementos DOM para derrotar XSS Pero creo que mi solución propuesta es diferente y me preguntaba si podría hacer que la comunidad comentara si puede ser una forma efectiva d...
hecha 25.01.2014 - 01:17
1
respuesta

Vulnerabilidad de Newline XSS

Entonces, estaba experimentando con XSS usando el carácter de nueva línea (% 0A). Así que llegué al vector habitual: '% 0Aalert (/ xss /) // y una cosa vino a mi mente. ¿Qué pasa si no puedes insertar una cotización? Una nueva línea romperá l...
hecha 06.03.2013 - 21:51
1
respuesta

Explotaciones de caracteres multibyte JSP / PostgreSQL

Estoy tratando de asegurar una aplicación web, escrita en Java / JSP y ejecutada en PostgreSQL, contra la inyección de SQL. Me encontré con este muy interesante answer , que se refiere a PHP y MySQL. ¿Hay algún recurso en la inyección multibyte...
hecha 21.05.2012 - 12:32
2
respuestas

¿Cómo mostrar XSS emergente sin usar palabras clave de alerta y script?

Me he topado con un campo que es vulnerable a XSS. Acepta y etiquetas sin embargo las palabras clave script, alert, msgbox, prompt están bloqueadas. He intentado todas las versiones codificadas de estas palabras clave, pero no funciona. ¿Hay...
hecha 17.07.2013 - 14:50
1
respuesta

¿Cuáles son las buenas herramientas para el descubrimiento de CRLF? [cerrado]

¿Cuáles son las buenas herramientas para encontrar vulnerabilidades de inyección de CRLF ?     
hecha 11.04.2013 - 22:02
1
respuesta

¿Cómo permitir scripts de forma segura pero evitando XSS?

Estamos tratando de encontrar la mejor manera de permitir JavaScript en una aplicación web mientras nos protegemos contra XSS. Los administradores del sitio tienen el privilegio de insertar JavaScript para controlar las plantillas del sitio y...
hecha 06.11.2018 - 01:01
1
respuesta

¿Cómo se propagó el gusano Tumblr?

Recientemente Tumblr fue golpeado por un gusano de rápida propagación . ¿Cómo funcionó el gusano? ¿Cuál fue la vulnerabilidad en Tumblr que explotó? ¿Explotó una vulnerabilidad XSS en Tumblr? ¿Una vulnerabilidad CSRF en Tumblr? ¿Algo más?...
hecha 07.12.2012 - 06:36