Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

¿La visualización de contenido de javascript en la aplicación califica como XSS?

Ejecuté un escaneo de vulnerabilidades en mi aplicación usando Burp suite. Algunos de mis campos de entrada pueden tomar código HTML (por ejemplo, <script>alert("exploited")</script> ) y se mostrará como texto pero nunca se eje...
hecha 25.01.2018 - 14:00
2
respuestas

'=' y '(' se omiten XSS [cerrado]

¿Cómo puedo agregar = en mi script cuando return input.replace (/ [= (] /g, ''); lo está reemplazando? Esto es sólo para fines educativos de resolución de CTF. Utiliza códigos HTML pero no funciona.     
hecha 03.12.2018 - 18:07
1
respuesta

¿Cómo puedo ejecutar un XSS en 302 redirect y el cuerpo en la página?

¿Hay una manera de ejecutar XSS? en 302 redirigir y el cuerpo en la página? <HTML><HEAD> <TITLE>302 Moved Temporarily</TITLE> </HEAD> <BODY> The document has moved <A HREF="https://Example.com/">here&l...
hecha 11.10.2018 - 16:01
1
respuesta

¿Se pueden usar los formularios de registro para un ataque XSS?

En la mayoría de los sitios web que tienen inicios de sesión de cuenta, hay al menos dos campos: correo electrónico Contraseña ¿Podría usarse alguno de estos campos para montar un ataque XSS (suponiendo que no haya codificación de carac...
hecha 10.12.2018 - 18:32
1
respuesta

¿Hay una manera de calcular la complejidad de un vector XSS?

¿Hay alguna forma de calcular / estimar la complejidad de un vector XSS? Me gustaría considerar un "puntaje de complejidad XSS-vector" en la fórmula risk = likelihood * impact 1 . En mi opinión, la probabilidad aumenta cuando la "punt...
hecha 11.07.2016 - 23:05
2
respuestas

Invertir shell usando XSS [cerrado]

Si una determinada aplicación web es muy vulnerable a los ataques XSS, ¿es posible que el atacante obtenga un shell inverso utilizando una cierta carga útil XSS sin cargar ningún archivo maléfico al servidor web? ¿o debería el propietario del se...
hecha 25.09.2017 - 21:06
2
respuestas

la vulnerabilidad de las secuencias de comandos entre sitios se maneja y corrige en el código, ¿mitigará también el ataque de falsificación entre sitios?

He mitigado los scripts de sitios cruzados en mi código mediante validación de entrada, caracteres de listas blancas (etiquetas HTML también) y uso de encabezados de protección X-XSS. ¿Las soluciones que he implementado para mitigar el ataque CS...
hecha 10.05.2017 - 11:04
4
respuestas

Riesgos de seguridad distintos a los [cerrado]

Estoy trabajando en el sitio web de ASP.NET core MVC, y no sé si me estoy perdiendo algún riesgo de seguridad que deba vigilar (aparte de los lógicos) Aquí hay una lista de lo que he estudiado y lo que he hecho para protegerlo: Hombre en...
hecha 17.05.2017 - 19:14
2
respuestas

Bajo qué condiciones no se ejecutaría una etiqueta de script [duplicar]

Estoy tratando de entender cómo funciona XSS y me topé con los juegos XSS de Google ( enlace ). El nivel 1 se puede solucionar fácilmente con el XSS más común ( <script>alert(0)</script> ). Sin embargo, si lo intentas en e...
hecha 21.06.2016 - 16:43
1
respuesta

Habilitar X-XSS-Protection en una aplicación web ASP.Net MVC

La mayoría de los navegadores son compatibles con el encabezado X-XSS-Protection para evitar atatcks XSS. ¿Cómo podemos habilitar este encabezado en una aplicación ASP.Net MVC? ¿Necesitamos habilitarlo en la aplicación o necesitamos hacer alg...
hecha 20.01.2017 - 06:26