Preguntas con etiqueta 'xss'

preguntas con etiqueta
1
respuesta

Se detectó un valor Request.Path potencialmente peligroso del cliente (&)

Estaba navegando en la web y escribí una URL para visitar cuando recibí la siguiente respuesta:    Se detectó un valor Request.Path potencialmente peligroso desde el cliente (&) Hice una investigación sobre este error y descubrí que e...
hecha 25.03.2018 - 23:40
1
respuesta

localStorage vs. HTTP-Only Cookies + XSRF: ¿Es mejor cuando se trata de XSS?

Si tuviera que implementar un patrón de conexión OpenID común en un SPA, podría tener la siguiente relación: Auth server <-----------> Client (browser) <-----------> App API server El usuario sería redirigido al servidor de aute...
hecha 30.11.2017 - 19:40
1
respuesta

intento de XSS de Google Captcha en login.yahoo.net? (NoScript)

Recientemente intenté iniciar sesión en mi cuenta de correo de Yahoo con Firefox ESR donde NoScript me mostró esta advertencia cuando se mostró el captcha en el inicio de sesión:    NoScript filtró un posible intento de secuencias de comandos...
hecha 27.08.2017 - 22:27
1
respuesta

¿Esta respuesta es vulnerable a xss?

Mi aplicación está devolviendo el parámetro de categoría en el cuerpo de json como la siguiente respuesta ... HTTP/1.1 200 OK Content-Type: text/javascript; charset=utf-8 P3P: policyref="/w3c/p3p.xml", CP="CAO PSA OUR" Server: nginx X-frame-op...
hecha 26.06.2017 - 17:55
1
respuesta

Explicación de la codificación de múltiples bytes ilegal que conduce a XSS

Estoy leyendo este informe sobre seguridad de Unicode y encontré los siguientes párrafos confusos:    Al convertir desde una codificación de múltiples bytes, un valor de byte puede no ser un   byte final válido, en un contexto en el que sig...
hecha 10.11.2017 - 07:17
1
respuesta

¿Qué es un esquema de explotación en este ataque XSS? [duplicar]

Básicamente, he encontrado una inyección XSS cambiando la carga útil con el encabezado X-Forwarded-Host , ya que su valor se refleja en el documento y no está saneado. Un ejemplo, esta es la fuente del documento: <a href="http://...
hecha 23.10.2017 - 21:35
1
respuesta

DOM basado en XSS y el carácter "#"

Estoy estudiando el ataque XSS basado en DOM. Entiendo que brevemente es un ataque en el que, en la carga útil del ataque, se ejecuta como resultado de modificar el "entorno" DOM en el navegador de la víctima. Pero no entiendo porque en muchos t...
hecha 09.06.2017 - 22:31
1
respuesta

¿Cómo evitar que JS se ejecute cuando se pasa como un parámetro a la URL? (sin etiquetas de script)

Necesitaba evitar que ocurra un ataque XSS cuando la carga útil se inserta en la URL como un parámetro. En este caso, sin embargo, no hay etiquetas script . Esta es mi URL que causa un ataque XSS:    localhost / example / file.jsp? test...
hecha 10.07.2017 - 22:53
2
respuestas

¿Existe la posibilidad de inyectar XSS en la función jQuery attr?

Me preguntaba si esta función sería vulnerable a XSS. var url = "google.com"; if (url.indexOf("http") != 0) { url = "http://" + url; } $("<a/>").attr("href", url); La 'url' es la entrada del usuario, y el <a/> se c...
hecha 23.05.2017 - 10:04
1
respuesta

Mitigando XSS asegurándose de que no haya ninguna letra después de un corchete angular [duplicado]

Opino que es bastante seguro mitigar XSS al no aplicar letras / símbolos especiales justo después del corchete < . Como se especifica en la especificación de HTML , el nombre de la etiqueta debe seguir el < para formar una...
hecha 19.01.2017 - 11:44