Tengo una vulnerabilidad XSS reflejada en mi aplicación web.
Decidí adoptar el enfoque de lista negra en lugar del enfoque de lista blanca popular.
Mi pregunta es ¿puede existir una llamada maliciosa de javascript sin abrir paréntesis (\ u0028...
Tengo un punto final de api que devuelve un nuevo token de api en JSON al usuario si ha iniciado sesión en mi sitio web y solo se utilizan sus cookies de sesión para autenticarse.
Estoy tratando de escribir un fragmento de código que se carga...
Creé una aplicación web de prueba simple para probar el uso del encabezado de la política de seguridad de contenido. Incluí una vulnerabilidad en mi aplicación de prueba, de modo que el envío de una carga básica de XSS con etiquetas de script se...
Estoy preguntando por un error que he recibido varias veces en el último día, fuera de lo teórico. Me pregunto qué puede estar pasando realmente en mi caso.
El error proviene de Sentry, en mi ubuntu / nginx / uwsgi / Django a través de la pil...
Si un campo no está santificado (excepto <, >) y todo lo que hace es agregar http en la carga útil y refleja la salida, ¿es posible ejecutar un script en el lado del cliente?
Este es el aspecto de la salida para la entrada ../javascript...
Me preguntaba, si tengo un script php, que podría cargar un archivo, Qué pasa si lo inyecto en una página que es vulnerable a Xss. Entonces, creé uno y aquí está el código de index.php
<html>
<body>
<form action ="" meth...
Además de usar encabezados de navegador, deseo incluir en mi lista negra / blanca los complementos y el navegador de mi sitio para evitar que estos sistemas antiguos no parcheados (1) sean usuarios generales de mi sitio (2) eliminando esos "obje...
Supongamos que encontré un error XSS en un sitio web de comercio electrónico. ¿Podemos robar las cookies de la víctima del sitio web de su banco (si está abierto en otra pestaña)?
Estoy buscando una forma de evadir adecuadamente una variable de JavaScript para realizar XSS. Una entrada de usuario normal dará var a='<b>user input</b>' .
a no es eval en ninguna parte y no se puede utilizar. Sin e...
Digamos que tenemos <span></span> . Nuestro sitio web toma el valor de un parámetro de consulta y lo agrega entre las etiquetas para que tengamos <span>Hello!</span> .
Si desinfectamos el parámetro reempl...