Preguntas con etiqueta 'xss'

preguntas con etiqueta
3
respuestas

Verificación de secuencias de comandos entre sitios en un campo que no acepta más de 20 caracteres

Mientras realizaba las pruebas de penetración, me quedé atascado en un punto. Hay un campo de texto que no acepta más de 20 caracteres (validación del lado del servidor). Inserté el siguiente fragmento de código para verificar XSS (de la hoja de...
hecha 14.06.2011 - 08:39
2
respuestas

PHP: si el conjunto de caracteres no coincide (htmlentities UTF-8) visto por el cliente como ISO-8859-1 (o viceversa)

Pregunta corta: Pregunta: ¿Podría surgir alguna vulnerabilidad de seguridad si un servidor ejecuta htmlentities como UTF-8 pero el cliente ve los resultados como ISO-8859-1? Supuesto: no existen vulnerabilidades cuando se utiliza un co...
hecha 28.02.2014 - 09:59
3
respuestas

Permitiendo a los usuarios ingresar un subconjunto seguro de HTML

Recientemente publiqué esta pregunta en Revisión de código y se recomendó que les pregunte a ustedes sobre esto. Básicamente, esto se usará para permitir que los usuarios generen contenido con formato. Se coloca dentro de las etiquetas HTML...
hecha 16.06.2014 - 08:36
4
respuestas

¿Es posible XSS cuando no se escapa, pero tampoco se muestra si va seguido de un carácter?

Descubrí que < no estaba codificado como &lt; . En lugar de eso, simplemente no es enviado por el servidor si es seguido directamente por algo. Por ejemplo, <a no mostrará nada. Pero puedo mostrar < a>...
hecha 09.05.2016 - 23:04
2
respuestas

Detalles recientes de exploits de XSS en Facebook

Hubo un reciente ataque XSS en Facebook que publicó un mensaje vulgar y logró que los usuarios hicieran clic en un enlace para distribuir la carga útil. ¿Qué vulnerabilidad se explotó y qué pueden hacer otros sitios para evitar un ataque similar...
hecha 12.05.2011 - 18:57
1
respuesta

¿El uso de Google reCAPTCHA permitiría a Google hacer trampa?

Queriendo ir un paso más allá para reducir la superficie de ataque de mi formulario de "registro de nuevo usuario", pienso en usar reCAPTCHA (el que ofrece Google). Tener bots solucionados de poder registrarme y por lo tanto no poder romper m...
hecha 12.03.2014 - 10:46
1
respuesta

Técnica XSS - y JavaScript Incluir

Estaba revisando la OWASP XSS Filter Evasion Cheat Sheet , y había una técnica completamente nueva para mí:    & JavaScript incluye <BR SIZE="&{alert('XSS')}"> Probé el siguiente HTML: <html> <head>...
hecha 08.08.2014 - 08:29
1
respuesta

Debería escaparse el contenido de los bloques de noscript

El título prácticamente lo dice todo. Parece contraintuitivo escapar dentro de un bloque <noscript> porque no se debe ejecutar ningún js que un atacante pueda inyectar allí. Pero, todavía soy bastante nuevo en esto, así que pensé qu...
hecha 13.01.2014 - 20:52
3
respuestas

¿Qué tan malo es un ataque XSS autocontenido?

Algunos de ustedes pueden estar familiarizados con este ataque llamado Self Contained XSS. Recientemente me topé con el artículo este al respecto. Entonces, ¿qué tan grave puede ser este tipo de ataque, aunque no tenga acceso a los elementos D...
hecha 23.12.2011 - 11:06
4
respuestas

XSS usando JSF ** k

Estaba leyendo sobre JSf ** k . Desde su página web:    JSF ** k es un estilo de programación esotérico y educativo basado en las partes atómicas de JavaScript. Utiliza solo seis caracteres diferentes para escribir y ejecutar código. Mi...
hecha 15.06.2015 - 20:34