¿Cómo escapar correctamente de la entrada controlada por el usuario cuando se inserta como un valor en el objeto JSON?
<script>
$(document).ready(function() {
new MyObject({
key1: "user_input",
key2: ["user_input1", "us...
Tengo el siguiente código javaScript en una aplicación, que BURP marca como posiblemente vulnerable. Sin embargo, no he tenido suerte intentando hacer que se ejecute.
var hash = window.location.hash;
si (hash) {
$ ('a [...
Entonces, digamos que tenemos un sitio web donde utilizan htmlentities y todo como < > "& se escapa pero no '(comilla simple), pero el problema es que la única entrada disponible dentro de una etiqueta está dentro de un valor=" ourinpu...
Soy nuevo en seguridad e intento mejorar.
A veces, cuando intento encontrar vulnerabilidades de XSS en un sitio web, mi carga útil solo se muestra en la pantalla, pero no sucede nada.
Toda la carga útil solo se muestra como una cadena.
¿Qué sign...
<img class="avatar" src="MY INPUT SPACE">
Estoy intentando omitir un filtro XSS pero no funciona porque dado que < , > se filtran. Siento que podría romperlo ya que solo estos dos personajes están filtrados, pe...
Estoy desarrollando una infraestructura de back-end basada en microservicios. Estoy usando el framework Springboot.
Con respecto a las fases de autenticación y autorización, usaría Oauth2 + JWT. Esto se debe principalmente a que tendré difere...
¿Por qué se recomienda poner comillas simples o dobles alrededor de los valores de atributos de HTML? Se recomienda prevenir el XSS, pero ¿por qué?
Lo mismo ocurre con la inyección SQL: se recomienda usar comillas simples o dobles al declarar...
Básicamente, he encontrado una inyección XSS cambiando la carga útil con el encabezado X-Forwarded-Host , ya que su valor se refleja en el documento y no está saneado.
Un ejemplo, esta es la fuente del documento:
<a href="http://...
Necesito usar una aplicación de una sola página (React, Ember, Angular, no me importa) con el mecanismo de protección Rails CSRF.
Me pregunto si debo crear un token cada vez en el ApplicationController de esta manera:
class Applicati...
Escuché / leí en varios contextos que el XSS basado en DOM está causado por información del cliente no confiable y los desarrolladores deben seguir las instrucciones en el OWASP " Hoja de referencia de prevención XSS basada en DOM " para mitigar...