Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

¿Cómo hacer la configuración de seguridad para el servidor http de ibm?

Estamos utilizando IBM HTTP Server versión 7.0 Necesita ayuda relacionada con la Prevención de secuencias de comandos entre sitios en el servidor http de IBM. Prevención de scripts entre sitios en Sun Java System Web Server 7.0 mencionado...
hecha 18.03.2013 - 10:20
1
respuesta

Desinfección de JavaScript para evitar XSS

Estoy realizando un ejercicio de corrección de vulnerabilidades para un cliente y estoy tratando de encontrar la mejor manera de mitigar este agujero en particular. Hay un script en nuestro sitio que muestra el contenido en una nueva ventana usa...
hecha 28.03.2013 - 19:28
1
respuesta

Comprender las solicitudes de origen cruzado de una página web

Al leer los ataques XSS en la wiki veo que dice que un script inyectado podría enviar datos / cookies al sitio de los atacantes. ¿Cómo se logra esto? ¿No hay controles / restricciones en las solicitudes de origen cruzado como esta desde un naveg...
hecha 11.09.2014 - 21:58
1
respuesta

XSS: alert () no se ejecuta en diferentes sistemas operativos / computadoras

Me encontré con un comportamiento extraño mientras realizaba una auditoría de seguridad de una aplicación web. Algunas entradas controladas por el usuario mostraban sus valores, sin codificar, en la página que procesaba la solicitud. Después de...
hecha 17.09.2014 - 10:07
2
respuestas

¿Los filtros XSS de los navegadores protegen contra XSS basados en DOM?

Muchos navegadores (pero no todos) vienen con protección XSS incorporada que se puede activar con un encabezado HTTP: X-XSS-Protection: 1; mode=block Tal como lo entiendo, evita los ataques XSS reflejados al verificar que el documento no co...
hecha 02.11.2018 - 09:09
1
respuesta

Atributo de estilo XSS sin comillas

Si hay una página que permite la entrada del usuario en lo siguiente ... .page { background: #userinput; } ¿puede ser explotado si <>'" está filtrado? He visto width: expression(alert(0)); , pero no pude hacer eso par...
hecha 17.01.2016 - 03:42
1
respuesta

Inyección de CRLF en la página web

Hace poco probé en un sitio en el que encontré algunos problemas, y esto continúa con una pregunta anterior que hice sobre la terminación de cadenas de bytes nulos en aplicaciones web. Me he dado cuenta de que el sitio no filtra los caractere...
hecha 25.09.2013 - 00:48
0
respuestas

Las soluciones para evitar XSS en páginas JSP no funcionan

Tengo una página JSP en la que el título HTML se extrae de un parámetro 'GET': <title>${title}</title> Obviamente, esto permite ataques XSS. Si sigo la respuesta dada en esta página y pruebo las soluciones <title><c...
hecha 15.03.2018 - 19:41
0
respuestas

Se busca: estrategia segura de inicio de sesión / autenticación para el sitio web con AND sin JavaScript en 2018

Estoy tratando de descubrir una estrategia para la autenticación segura, sin reinventar la rueda, pero también teniendo en cuenta las limitaciones específicas de mi situación. La estrategia no debe estar vinculada a un marco particular, aunque e...
hecha 13.03.2018 - 13:17
0
respuestas

"Fallo en el mecanismo de protección (CWE ID 693)

Después del análisis de seguridad, estamos viendo el problema Falla del mecanismo de protección (CWE ID 693) en nuestro aplicación. Nuestro encabezado actual se establece como se menciona a continuación- Server: Apache X-Frame-Options: SA...
hecha 19.06.2018 - 10:54