Preguntas con etiqueta 'xss'

preguntas con etiqueta
2
respuestas

Código XSS devuelto en la página de origen

Estoy tratando de entender XSS. Tengo un conocimiento básico de XSS reflejado, almacenado y cómo deberían funcionar. En este caso particular, el código que inyecto se está devolviendo en el origen de la página, pero no aparece ningún mensaje eme...
hecha 15.09.2016 - 02:34
1
respuesta

Burpsuite - encontrando vulnerabilidades xss en el marco de vaadin

Hice un pequeño sitio web usando el marco de vaadin. Contiene un TextField-component para la entrada del usuario y un Label-component que se coloca en otra vista y que muestra exactamente el valor, ingresado en la vista anterior....
hecha 23.09.2016 - 15:03
1
respuesta

¿Cómo crear un BBCode seguro?

En este momento, las personas pueden usar XSS en mi URL BBCode, y no sé cómo solucionarlo. Intenté arreglarlo hace un tiempo, ¡pero alguien lo evitó! function filterScript($content) { $pattern = array('/href="javascript:[^"]+"/', '/style=...
hecha 26.11.2016 - 19:33
1
respuesta

¿Cómo puedo abrir un shell de meterpreter en el servidor de destino después de redirigir el servidor de destino a mi propio servidor web que aloja la carga útil?

Está bien, así que esto es lo que hice con una máquina vulnhub después de encontrar una vulnerabilidad XSS en ella. Generé una carga útil de php de reverse_tcp y la guardé dentro de mi servidor web. Navegué a la ubicación de carga útil de...
hecha 20.08.2016 - 10:11
2
respuestas

Activación de Javascript por cadena de agente de usuario. CSRF o XSS?

He leído varios libros de seguridad de PHP, pero después de leer uno me confundí acerca de la definición de CSRF (falsificación de solicitud entre sitios). Wikipedia lo explica así:    A diferencia de los scripts entre sitios (XSS), que aprov...
hecha 30.07.2016 - 15:57
2
respuestas

explotando CSRF en una solicitud ajax a través de la falla XSS

En una aplicación que estoy probando, hay un defecto XSS almacenado. Ahora, estaba probando para CSRF y construí una página HTML con un javascript que envía la solicitud ajax (XHR). Provocó una solicitud previa al vuelo y luego el navegador dice...
hecha 02.06.2016 - 16:08
1
respuesta

¿Es posible usar CSP para un reproductor de video basado en Javascript?

Algunos de mis compañeros de trabajo están desarrollando un reproductor de video usando Javascript. AFAIK, no vamos a tener ningún sitio web. Los clientes se conectarán al servidor, descargarán el código javascript y luego reproducirán el reprod...
hecha 19.02.2016 - 12:55
1
respuesta

Deshabilitar las solicitudes http posteriores a la carga de la página para tener en cuenta XSS

Tengo un sitio web donde se utiliza JavaScript para procesar datos confidenciales (mensajes de chat) en el lado del cliente. No se realiza ninguna comunicación con el servidor ni con ningún otro servicio después de la carga inicial de la página....
hecha 19.02.2016 - 11:45
2
respuestas

Necesita ayuda para comprender las vulnerabilidades de OWASP [cerrado]

Estoy haciendo un informe técnico sobre la simplificación de las vulnerabilidades de OWASP 10 basado en un artículo que sugirieron nuestros maestros. ¿Pueden ustedes ayudar o proporcionar más recursos aquí? ¿Cuáles son tus puntos de vista? Tambi...
hecha 07.07.2016 - 13:08
2
respuestas

¿Es posible ejecutar xss cuando la respuesta es de tipo de contenido: aplicación / json en el último IE? [duplicar]

La pregunta es cuando el tipo de respuesta de solicitud viene como application / json y tampoco hay ningún tipo de escape / codificación implementado, ¿es posible ejecutar xss allí? El cambio en el truco de la extensión de archivos parece esta...
hecha 13.01.2016 - 20:39