Preguntas con etiqueta 'xss'

preguntas con etiqueta
2
respuestas

¿por qué no es seguro usar userdata en los nombres de los parámetros de url?

En el archivo de información de información sobre el contenido del artículo: es seguro colocar datos de usuario en los valores de los parámetros GET cuando se codifican. Sin embargo, los datos de usuario no deben utilizarse en ningún otro lug...
hecha 21.07.2017 - 09:34
2
respuestas

¿Cómo evitar la barra invertida que se escapa xss?

Estoy intentando omitir algunos filtros XSS. Cada vez que inserto una sola cita, obtengo una barra invertida, por lo que escribí esta carga útil: \';alert(1);\' En el código fuente se ve así: <script> a = '\';alert(1);\'' </scri...
hecha 18.08.2016 - 10:51
1
respuesta

¿Cómo puedo proteger mi aplicación PHP contra XSS?

Estoy actualizando la seguridad de un sitio existente (por lo que no puedo rehacer todo con un marco que tiene funciones xss integradas), por lo que estoy buscando una forma de protegerme contra ataques XSS como los que listado por OWASP here ....
hecha 13.07.2016 - 17:13
1
respuesta

Desinfectar publicaciones XSS de terceros en la API de Java

Tenemos algunos servicios RESTful API que hemos estado usando durante varios años. Recientemente, hemos empezado a considerar la posibilidad de presentarlos a clientes de terceros para que puedan escribir sus propias interfaces de usuario y poda...
hecha 24.08.2016 - 23:00
1
respuesta

XSS reflejado a través de JSON ejecutado con Burp, pero ¿cómo hacerlo en condiciones realistas?

Estoy probando un escenario con proxy Burp. Estoy ubicado en un sitio web https://website.com/web Hay una opción allí para eliminar un elemento, al hacer clic en él, se envía una determinada solicitud POST ( XMLHttpRequest...
hecha 01.02.2017 - 00:39
1
respuesta

¿Evidencia de ataque XSS?

Tenemos un cliente que hace negocios con esta empresa y recientemente notamos que nuestro Barracuda bloqueaba sus correos electrónicos basados en el análisis de intención. Investigaciones posteriores demostraron que se debía a una URL incrustada...
hecha 10.02.2017 - 23:38
2
respuestas

Cargando cualquier archivo HTML a nuestro servidor

Supongamos que nuestro sitio permite cargar cualquier archivo HTML. Luego, un pirata informático puede robar la cookie de otro usando JavaScript. ¿Qué pasa si vamos a servir los archivos HTML cargados con Content-Disposition: attachment...
hecha 02.12.2016 - 05:55
1
respuesta

¿La eliminación de la interacción del usuario crea un entorno seguro que anula XSS?

Supongamos que hay un servicio en línea que toma como entrada una cadena DOM, carga ese DOM en un navegador en su servidor y devuelve una captura de pantalla. ¿Sería posible que el servicio en línea proteja completamente la integridad de la p...
hecha 27.05.2016 - 22:26
1
respuesta

XSS de salidas JSON

En el libro "Ataques XSS - Explotaciones y defensa" Jeremiah Grossman escribe:    La vulnerabilidad encontrada en el lector de Google se debió a que los desarrolladores pensaron que JSON solo iba a ser visto por el script de llamada. Los desa...
hecha 30.01.2017 - 19:25
1
respuesta

Configuración del encabezado HTTP X-Frame-Options DENY para activos estáticos

Estoy comprobando la seguridad de mi aplicación Django a través de un escáner de seguridad y Me pregunto si es útil establecer el encabezado X-Frame-Options DENY en activos estáticos como CSS, imágenes o archivos JS. Supongo que se p...
hecha 09.03.2016 - 18:07