Preguntas con etiqueta 'xss'

preguntas con etiqueta
3
respuestas

Reflective XSS en códigos de script con tipo de contenido “texto / javascript”

Tengo una página web que devuelve código de secuencia de comandos sin formato con el encabezado Content-Type: text/javascript . Sin embargo, encontré que hay un xss reflexivo en uno de los parámetros pasados a la url que se copia en el jav...
hecha 03.01.2016 - 19:00
1
respuesta

¿La prevención XSS solo en la interfaz es suficiente para los servicios JSON? [duplicar]

Tenemos una aplicación con un formulario donde el usuario puede ingresar un comentario. El formulario se envía utilizando AJAX. Los valores también se leen a través de AJAX y el backend los devuelve como JSON, y luego se analizan con JavaScrip...
hecha 09.10.2014 - 16:18
3
respuestas

Descarga segura del contenido enviado por el usuario

TL; DR Guardamos la carga útil de solicitud y el encabezado Content-Type en una base de datos. Debe ser JSON o CSV pero puede tener un formato incorrecto. Los usuarios de soporte descargan la carga útil de solicitud como un archivo en s...
hecha 31.03.2016 - 18:02
2
respuestas

¿Por qué no funciona este ataque XSS?

Tengo un sitio que tiene el siguiente javascript que se está ejecutando: var t=location.hash.slice(1); $("div[id="+t+"]").text("The DOM is now loaded and can be manipulated."); Estaba pensando que si adjuntaba lo siguiente a la url: #mess...
hecha 18.09.2014 - 23:37
1
respuesta

Usar htmlentities () en un área de texto compatible con BBCode para detener XSS

Quiero tener un área de texto para publicar cosas en la base de datos con BBCode. Por lo tanto, descargué un código JavaScript (para escribir en el BBCode específico cuando se hace clic en la imagen) pero no transformó el texto. Hay imágenes...
hecha 19.06.2016 - 11:06
3
respuestas

Más allá de las inyecciones de SQL y XSS

Soy un programador que trabaja en un servicio web (por mi cuenta). Dado que no soy un experto en seguridad, vine a este sitio web para formular mi pregunta. Hice todas las cosas importantes para asegurar mi sitio web. Intenté protegerme contr...
hecha 22.12.2014 - 23:23
1
respuesta

BeeF - ¿Cómo funciona? [duplicar]

Estoy principalmente del lado del servidor. No he trabajado con JS mucho antes. Mi compañero de trabajo estaba hablando de BeeF y de cómo básicamente controla el navegador de las víctimas con solo un simple ataque xss. Me preguntaba cómo...
hecha 29.03.2014 - 02:01
4
respuestas

¿Se consideraría esto un XSS o una RFI o nada?

Soy un estudiante principiante de seguridad de redes y, como práctica, mi padre me dejó ver el sitio web de su tienda personal de negocios en línea. Encontré un script llamado image.asp que cuando se alimenta un parámetro de archivo devuelve...
hecha 07.11.2014 - 06:18
1
respuesta

¿Vector de ataque XSS sin barra diagonal?

¿Existe un vector de ataque XSS que permita la inclusión de un archivo .js externo sin tener que usar barras diagonales? digamos que la ruta del archivo es somewebsite.com/js/xss.js ¿Hay alguna forma de pasarlo a un parámetro que fu...
hecha 23.02.2014 - 18:27
1
respuesta

¿Es posible ejecutar xss en estas condiciones?

¿Es posible ejecutar xss bajo las siguientes condiciones? Los siguientes caracteres y palabras bloqueados se reemplazan con _.    caracteres: > , , ", ', #, ~, \,%, (,), [], {,}, [espacio]       palabras clave: alerta, confirmación, so...
hecha 02.09.2013 - 20:51