Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

¿Se deben sanear las cadenas no confiables del lado del servidor si se insertan en el cuerpo del documento mediante document.createTextNode?

Webapp de chat. Los clientes (es decir, los navegadores web) envían mensajes al servidor, que el servidor transmite a todos los clientes conectados. El código del lado del cliente se ve así: let p = document.createElement('p') p.appendChild(do...
hecha 26.08.2018 - 00:53
2
respuestas

prevención XSS a través de JavaScript

Estoy trabajando en una prevención XSS a través de Javascript. Estoy usando el siguiente código JS para eso: (function () { /* XSS prevention via JavaScript */ var XSSObject = new Object(); XSSObject.lockdown = function (obj, name) { if...
hecha 24.06.2018 - 22:27
1
respuesta

¿Cómo protege el Perímetro definido por software (SDP) contra ciertas amenazas que ocurren en el navegador?

He estado investigando un poco sobre SDP (Perímetro definido por software), pero aún no está claro cómo protege contra ciertos tipos de ataques. En Wikipedia dice que puede protegerse contra estos ataques: secuencias de comandos entre s...
hecha 02.09.2018 - 22:55
1
respuesta

Evita que el escape / corte evite XSS [duplicado]

Tengo una entrada, que muestra un valor (Nombre) en un cuadro de la página. En el lado del servidor, la entrada se escapa mediante la siguiente regla (vb.net): Public Function UnescapeString(strValue As String) As String If (String.IsNul...
hecha 07.09.2018 - 15:26
1
respuesta

¿Cómo prevenir la vulnerabilidad persistente de XSS con Java Struts 1 Framework?

Tengo una aplicación que se ejecuta bajo Tomcat 7, desarrollada con Struts (Java Web Framework). Mi aplicación contiene una vulnerabilidad de seguridad (secuencias de comandos XSS entre sitios). ¿Qué tipo de vulnerabilidad XSS es? Persi...
hecha 31.05.2018 - 20:23
2
respuestas

¿Qué hacer con respecto a la vulnerabilidad en un producto SaaS que compro?

Trabajo para una universidad, donde formo parte del equipo responsable de integrar un Sistema de Gestión de Aprendizaje SaaS (por ejemplo: Moodle, Canvas) con el resto de los sistemas de la universidad. Hace dos meses, identifiqué un ataque C...
hecha 28.11.2018 - 02:04
1
respuesta

¿Cómo detectar XSS en las etiquetas HTML? [cerrado]

Soy un principiante que está tratando de entender XSS. Quiero crear mi propio sitio y tengo mucha curiosidad sobre cómo detectar si alguna de las etiquetas HTML es vulnerable a XSS (como si las etiquetas <src> o <a> )....
hecha 03.08.2018 - 23:08
2
respuestas

¿Qué puede hacer un archivo javascript inyectado localmente?

Estaba haciendo algunas pruebas en mi pequeño proyecto de foro. Descubrí que es posible inyectar un archivo javascript a través de un pequeño agujero de seguridad. Básicamente, el hacker puede inyectar cualquier código javascript que desee. Ahor...
hecha 22.04.2018 - 21:57
1
respuesta

¿Cómo manejan los navegadores document.write en este caso XSS basado en DOM?

OWASP menciona el siguiente ejemplo de código vulnerable a un ataque XSS basado en DOM: Select your language: <select><script> document.write("<OPTION value=1>"+document.location.href.substring(document.location.hre...
hecha 11.05.2018 - 01:12
1
respuesta

¿Cómo omitir la ubicación de respuesta para obtener contenido XSS?

En algunos pasos básicos: Solicitud POST que contiene una foto con varias partes / datos de formulario. Se encontró que HTTP / 1.1 302 responde con un redireccionamiento al formulario Redirigir al formulario inicial. En el caso 1, pod...
hecha 08.05.2018 - 15:28