Preguntas con etiqueta 'xss'

preguntas con etiqueta
4
respuestas

¿Cómo construir un desafío de pirateo que use XSS?

Las conferencias de seguridad a menudo tienen desafíos de piratería. Mis colegas y yo hemos creado un número de estos. Todavía no hemos hecho una que incluya una vulnerabilidad de secuencias de comandos entre sitios. He visto desafíos que h...
hecha 22.12.2016 - 15:56
2
respuestas

¿Es seguro incluir el esquema de datos en su Política de seguridad de contenido?

Tengo una aplicación Cordova que transforma algunas imágenes a base64. Esto viola la CSP con este mensaje:    Se negó a cargar la imagen   'datos: imagen / svg + xml; conjunto de caracteres = US-ASCII,% 3C% 3Fxml% 20version% 3D% 221.0% 22% 20...
hecha 26.07.2015 - 19:58
4
respuestas

¿Por qué deberían los filtros XSS escapar de la barra diagonal?

En las recomendaciones de OWASP con respecto a & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27; &apos; not recommended because its not in the HTML spec (See: section 24.4.1) &apo...
hecha 04.02.2014 - 00:53
2
respuestas

¿Es el correo electrónico un vector directo para XSS?

Tengo curiosidad por saber si hay una forma de ejecutar XSS por correo electrónico. No estoy hablando de usar el correo electrónico como una forma de entregar un enlace que haya reflejado XSS en él. Estoy hablando de enviar un correo elect...
hecha 09.03.2012 - 23:08
1
respuesta

¿Las secuencias de comandos entre sitios y el uso de cookies de solo http?

He sido un desarrollador y ahora estoy tratando de ver XSS desde el punto de vista de un desarrollador. Estaba pensando en un caso particular de XSS reflejado. Digamos que tenemos un sitio web vulnerable y si un atacante puede engañar a los usua...
hecha 25.07.2013 - 07:08
2
respuestas

Ataques de XSS UTF-7 en navegadores modernos

Recientemente he leído artículo de Ned Batchelders sobre los ataques de XSS de UTF-7 . Probé sus ejemplos , pero no conseguí que ningún ataque UTF-7 funcionara en los navegadores modernos. Probé versiones recientes de Firefox, Chrome y Safari...
hecha 22.12.2013 - 10:02
5
respuestas

¿La configuración httponly evita el robo de una sesión usando XSS?

Si un token de sesión se almacena en una cookie que se ha configurado httponly, ¿hay alguna forma en que una vulnerabilidad XSS podría permitir que un usuario malintencionado robe un token de sesión de los usuarios?     
hecha 08.10.2013 - 21:53
2
respuestas

¿Por qué se llama scripts entre sitios? (XSS)

¿Por qué las secuencias de comandos entre sitios se llaman secuencias de comandos entre sitios? El término implica para mí (un hablante no nativo de inglés) que hay algún otro sitio web involucrado que ataca su sitio web, pero la mayoría de...
hecha 01.09.2016 - 11:23
7
respuestas

Lista blanca de elementos DOM para derrotar a XSS

Como sabemos, los desarrolladores son responsables de escapar / validar correctamente los datos proporcionados por el usuario antes de procesarlos o almacenarlos. Sin embargo, debemos estar de acuerdo en que es relativamente fácil olvidar una en...
hecha 20.12.2010 - 12:13
1
respuesta

¿Protege Google Chrome contra los scripts entre sitios (XSS)?

En Firefox he estado usando la extensión NoScript para protegerme de ciertos tipos de ataques de malware. NoScript es bien conocido como una extensión muy poderosa para Firefox e introdujo protección contra ataques XSS y clickjacking desde...
hecha 19.06.2012 - 21:26