Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

Anulación de la codificación HTML [cerrado]

Estoy probando una aplicación web donde el servidor acepta caracteres especiales como @#$* , pero cuando inserto comillas dobles / simples, el servidor HTML lo codifica. ("test">%3Cscript%3Ealert('XSS')%3C...
hecha 10.01.2017 - 05:54
1
respuesta

¿Qué esquemas de URL son peligrosos (XSS explotable)?

Sé que un enfoque de lista negra para el filtrado de URL no es el más seguro, pero digamos que además de este filtrado, también estamos reescribiendo todos los enlaces que no son de confianza para pasar por una página de redirección que advierte...
hecha 15.01.2017 - 11:08
1
respuesta

Generación y validación de token CSRF

Estoy tratando de implementar las mejores prácticas de XSS en un sitio que estoy haciendo. Actualmente estoy generando un token seguro en mi servidor y lo envío al usuario como un campo oculto, luego validando ese token asegurándome de que no...
hecha 09.07.2016 - 02:04
1
respuesta

LFI - Omitir Preg_Replace

Tengo un script que tiene este código: $name = preg_replace('/[^a-z0-9_.]/', '', $_GET['name']); $ _GET ['name'] = ../../conf.php pero preg_replace filtró mi barra (/) y $ name será ... conf.php ¿Puedo evitarlo?     
hecha 20.09.2016 - 18:08
1
respuesta

El sitio almacena el nombre de la cookie y la identificación del usuario en la etiqueta de script después de iniciar sesión. ¿Es este un problema para xss o para el highjack de sesión?

Upfront, diré que este no es mi sitio web y que simplemente estoy realizando una auditoría general (por problemas no relacionados con la seguridad), pero encontré esto en la fuente después de iniciar sesión. Otra etiqueta de script para análisis...
hecha 16.05.2016 - 18:19
1
respuesta

¿Puede alguien decirme si se trata de un ataque de secuencias de comandos entre sitios o una entrada de registro normal?

¿Alguien puede arrojar luz sobre estos registros? ****GET /list25/ADMN/Eligibility/EligibilityResponse.aspx _TSM_HiddenField_=ctl00_ScriptManager1_HiddenField&_TSM_CombinedScripts_=%3b%3bAjaxControlToolkit%2c+Version%3d4.1.40412.0%2c+Cult...
hecha 07.12.2015 - 04:51
1
respuesta

XSS se hizo eco en el código html de las páginas pero no aparece ninguna ventana emergente

Tengo una página de inicio de sesión https con entradas de nombre de usuario y contraseña estándar. Pongo en una simple prueba de xss como, alerta ("ataque XSS") la página muestra una advertencia de "las credenciales que ha proporcionado s...
hecha 19.08.2014 - 14:20
1
respuesta

¿PHP FILTER_VALIDATE_IP es lo suficientemente seguro como para que $ _GET una dirección IP?

Necesito pasar una IP a una página de PHP, y sería conveniente poder usar GET, pero sé que eso es una especie de problema, por lo que quiero revisar tres veces que lo estoy manejando de manera segura . if(!filter_var($_GET["ip"], FILTER_VALIDA...
hecha 19.08.2014 - 16:58
1
respuesta

Vulnerabilidades de XSS: ¿cuánto son peligrosas?

Muchos artículos subrayan que las vulnerabilidades XSS pueden ser muy peligrosas para el sitio web en el que existen. Me pregunto si esto es cierto cuando encontramos estas vulnerabilidades de XSS en la interfaz de un sitio web, en campos como...
hecha 09.06.2014 - 11:29
1
respuesta

Desde una perspectiva de seguridad, ¿por qué no una api de captura de pantalla para el navegador? [cerrado]

Me refiero a una api de javascript para capturar una página html representada, o una vista actual, y volcar el contenido en una imagen. Si bien existen ataques obvios, como tomar una captura de pantalla de información sensible, realmente no c...
hecha 03.02.2015 - 18:13