Preguntas con etiqueta 'xss'

preguntas con etiqueta
3
respuestas

¿Es posible cambiar el código del sitio web a través de una imagen incrustada [duplicado]

decir que permito a mis usuarios incrustar imágenes que otros pueden ver, luego el usuario vuelve a escribir la imagen como un archivo PHP, por ejemplo. ¿Eso supondría un riesgo para la seguridad de que él inyecte algo en mi código?     
hecha 05.10.2015 - 22:04
2
respuestas

XSS en contenido-Disposición

Supongamos que he encontrado un xss en el sitio example.com, ahora para activar un XSS, uso la siguiente URL: https://example.com/a.php?v=%22%3E%3Cimg%20src=x Lo que resulta en la siguiente respuesta: HTTP/1.1 500 Internal Server Error Se...
hecha 27.07.2015 - 04:26
2
respuestas

Problemas de seguridad al permitir caracteres especiales en el campo de entrada

Estoy creando una aplicación web, en la que debo permitir que el usuario ingrese cualquier carácter (incluso caracteres especiales - ~!@#$%^&*()_-+=|\{}[];:'"<,.> ) en un campo de entrada. Para mitigar los problemas causados por...
hecha 18.05.2015 - 12:29
1
respuesta

¿Cuál es el XSS malicioso más corto posible? [cerrado]

A veces te topas con campos de entrada que no escapan de la entrada de manera adecuada, pero que aún parecen ser demasiado cortos para ser usados para cualquier cosa maliciosa, al menos para alguien con mi imaginación limitada. Esto me hizo p...
hecha 01.12.2014 - 20:38
1
respuesta

¿Cómo funciona este wordpress XSS?

Hay un nuevo vulnerabilidad de Wordpress en wp-includes/formatting.php $textarr = preg_split('/(<.*>|\[.*\])/Us', $text, -1, PREG_SPLIT_DELIM_CAPTURE); El problema general aquí es que intentan analizar HTML usando expresiones...
hecha 26.11.2014 - 11:03
2
respuestas

XSS en el encabezado HOST

Puedo inyectar la carga útil de JavaScript en el encabezado HOST, una solicitud se verá así: Host: <script>alert(document.cookie)</script> User-Agent: Mozilla/5.0 Gecko/20100101 Firefox/29.0 La cookie se alertó sin problemas....
hecha 27.07.2014 - 20:25
1
respuesta

Protección básica de sitios web (XSS, inyección de SQL, hashing)

Tengo una aplicación muy simple que permite a los usuarios no autenticados dejar comentarios (quizás más adelante incorpore un capatcha). La aplicación luego almacena los comentarios en una base de datos de mysql. Hago todo lo posible para filtr...
hecha 19.08.2014 - 17:07
2
respuestas

¿Es necesario tener filtros XSS cuando estoy guardando datos como XML?

Mi aplicación web toma configuraciones del usuario y las guarda en un archivo XML (no se hizo para detener XSS). La entrada está codificada en XML para que " , & ... y dichos caracteres no rompan la estructura XML. Entonces,...
hecha 06.08.2014 - 14:10
2
respuestas

Omitir la validación de cookies

Descubrí que una aplicación web permite configurar ciertos valores de cookies a través de parámetros de solicitud. Cada parámetro de solicitud da como resultado un encabezado Set-Cookie separado. es decir, una solicitud como esta: /url?cookie1...
hecha 20.02.2014 - 17:23
1
respuesta

¿Creación de secuencias de comandos entre sitios en el método HTTP?

Últimamente, he notado que muchas configuraciones de servidores web reflejan el método de una solicitud HTTP enviada con un método no implementado en el cuerpo de la respuesta del servidor. Por ejemplo, una solicitud enviada con el método GET...
hecha 30.12.2013 - 08:27