Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

¿Cómo y por qué funciona el XSS que no distingue entre mayúsculas y minúsculas, dado que JavaScript distingue entre mayúsculas y minúsculas?

Encontré muchas instancias donde los scripts XSS como el siguiente trabajo: <iMg SrC=x OnErRoR=window.location=123> Dado que JavaScript es un lenguaje que distingue entre mayúsculas y minúsculas, ¿cómo puede el navegador identificarlo...
hecha 01.05.2016 - 12:51
2
respuestas

vectores XSS en img src y url de imagen de fondo

Estoy un poco confundido acerca de las vulnerabilidades de XSS al servir img.src y url de fondo. Por lo que entiendo, la única forma de ejecutar javascript en este caso, es usar el protocolo javascript. Consideremos este ejemplo: if (location....
hecha 01.06.2016 - 22:33
2
respuestas

¿Comillas simples o dobles en PHP?

En general, ¿cuál es más seguro de usar, en particular para la evasión XSS? echo '<input name="'.$input_name.'">'; echo "<input name='$input_name'>"; Estoy adivinando comillas simples, pero me pregunto por qué & con la esper...
hecha 18.04.2018 - 19:01
1
respuesta

¿Por qué este desafío XSS requiere% 0A para funcionar?

Encontré este desafío XSS hack.me . La solución a este desafío es: javascript://%0Aalert(1) Estoy confundido con %0A . ¿Por qué no funciona con esta carga útil? javascript://alert(1)     
hecha 16.09.2017 - 01:19
1
respuesta

Entendiendo la misma política de origen

Estoy tratando de entender mejor la misma política de origen. Por lo que entiendo, la misma política de origen restringe el código de un "origen" y no accede a los datos de otro "origen". Lo que estoy tratando de entender es el contexto de este...
hecha 24.06.2014 - 10:10
1
respuesta

¿Obligatorio para implementar HTTP Solo si las cookies seguras de Java están configuradas como "verdaderas"?

Aquí hay un caso de prueba de una reciente evaluación de seguridad de la aplicación que he experimentado: cookie = new Cookie(strKey1, EncryptDecrypt.encrypt(strValue)); cookie.setMaxAge(-1); cookie.setDomain(COOKIE_NEW_DOMAIN); cookie.setPat...
hecha 03.04.2015 - 03:29
1
respuesta

¿Por qué la "falta de coincidencia de tipo MIME en el archivo de imagen" es una vulnerabilidad de seguridad?

Algunos escáneres de vulnerabilidad de seguridad como Ratproxy detectan una vulnerabilidad llamada " No coinciden los tipos MIME en el archivo de imagen ". Gracias al proyecto CAPEC podemos ver que Es posible realizar secuencias de comandos...
hecha 28.06.2013 - 09:05
1
respuesta

Correo electrónico comprometido por Yahoo Mail Exploit

El lunes debido a XSS presente en el correo de Yahoo. Mi correo electrónico ha sido comprometido. Inmediatamente cambié mi contraseña, pero no estoy seguro de que esto sea suficiente, es decir, ¿necesito eliminar mis cookies y cualquier otra c...
hecha 09.01.2013 - 05:28
2
respuestas

¿Desea desinfectar me gusta / no está en la aplicación?

Tengo una función en mi aplicación donde los usuarios pueden hacer clic en una imagen de "aprobación" y se registra una imagen similar en la base de datos; todo lo que se registra es la ID del usuario y la ID de la publicación que le gustó. S...
hecha 18.05.2012 - 02:21
2
respuestas

PHP en IIS 7.5 hackeado: ¿Cómo puedo encontrar y reparar la inyección XSS?

Descubrí que alguien había obtenido acceso a través del software del servidor FileZilla a mi Windows 2012 Server. Parece que habían creado cuentas adicionales y estaban intentando intentos de fuerza bruta para entrar casi constantemente. En c...
hecha 14.12.2013 - 01:17