Preguntas con etiqueta 'xss'

preguntas con etiqueta
3
respuestas

¿Este filtro es lo suficientemente seguro como para mitigar XSS?

Tengo una aplicación que escapa a los siguientes caracteres especiales. & < > " ' La aplicación muestra en gran medida los parámetros de solicitud HTTP en toda la aplicación. Los parámetros de solicitud se utilizan en el cuerpo HT...
hecha 26.06.2017 - 23:38
4
respuestas

¿Cómo usar la vulnerabilidad XSS para leer el archivo en el servidor?

¿Puedo usar una vulnerabilidad XSS para leer archivos en el servidor inyectando código PHP en la página? Ej .: Use document.write para inyectar el código PHP que lee el archivo.     
hecha 14.07.2016 - 08:19
2
respuestas

¿Qué tan malo es representar HTML de las cookies?

Recientemente trabajé con un marco PHP y vi que estaba colocando html en una cookie para leerlo desde JavaScript (no me preguntes por qué). Intenté alterar el html en la cookie poniendo una instrucción alert('bingo') y funcionó. ¿Se pu...
hecha 08.09.2017 - 15:55
1
respuesta

Si un sitio web filtra los términos relacionados con XSS, ¿sigue siendo potencialmente vulnerable?

Por ejemplo, supongamos que hay un sitio web donde la entrada del usuario no está correctamente desinfectada, pero estos filtros aún están activos. Cualquier cosa escrita se inserta entre dos etiquetas div. Si la entrada es " hello ", s...
hecha 16.05.2017 - 00:28
2
respuestas

¿Por qué tengo que hacer pruebas XSS manuales además de usar herramientas como Burp Suite / XXSer / Xenotix?

¿En qué momento se prefieren las pruebas manuales para XSS a un ataque automatizado como uno a través de Burp Suite? Mirando a través de las recompensas de errores y varias vulnerabilidades, no está claro dónde hay una línea divisoria entre e...
hecha 20.05.2016 - 12:18
4
respuestas

Cambio seguro de enlaces de texto a anclajes HTML

Estoy intentando cambiar los enlaces de texto a anclajes reales. Entonces, por ejemplo, quiero cambiar de http://example.com a <a href="http://example.com">http://example.com</a> . Dado que se trata de una cadena dada...
hecha 23.02.2011 - 10:13
2
respuestas

¿Por qué prohibir XSS en lugar de marcarlo?

Considere un navegador que permita que un XMLHttpRequest descargado de foo.net realice solicitudes a bar.net, pero agregue un XHR-Origin: http://foo.net (o posiblemente un valor más descriptivo como http://foo.net/trustedapp.js ). E...
hecha 09.08.2012 - 06:14
2
respuestas

¿Cómo implementan los piratas informáticos los keyloggers?

Sé que el uso de keyloggers. Lo que deseo saber es cómo un hacker puede instalar el keylogger en el sistema de la víctima. Si XSS puede hacerlo, entonces, ¿dónde está instalado realmente este keylogger (me refiero al sistema cliente o al navegad...
hecha 19.09.2014 - 13:07
1
respuesta

¿El uso de ASP.NET evita que XSS [se duplique]?

Estaba leyendo sobre XSS , y sé que ASP.NET no permite guardar HTML en la base de datos. Por lo tanto, mi pregunta es: ¿Usar ASP.NET hace que mi aplicación web sea segura con respecto a XSS completamente , sin trabajo adicional mío, ya q...
hecha 17.10.2015 - 22:11
1
respuesta

¿Es esto suficiente para abordar la inserción de guiones / códigos maliciosos en las solicitudes GET, POST?

Tengo un código PHP heredado que intenta evitar la inyección de scripts / SQL con lo siguiente: if (!empty($_POST)) { reset($_POST); while (list($k,$v)=each($_POST)) { if(!is_array($_POST{$k})) { $val=str_re...
hecha 10.02.2011 - 11:02