Tengo un parámetro, llamémoslo p que normalmente acepta true o false como una cadena.
Puedo enviar el siguiente comando y se imprimirá, lo único que impide que el script se ejecute es el signo % después de <...
La hoja de registro de evidencias del filtro XSS de OWASP tiene un script de Perl en la lista:
perl -e 'print "<IMG SRC=javaperl -e 'print "<IMG SRC=java%pre%script:alert(\"XSS\")>";' > out
script:alert(\"XSS\")>";' > out...
Estoy creando un informe de recompensas de errores para un exploit de scripts de sitios cruzados que también puede causar una escalada de privilegios.
El programa de recompensas de errores clasifica Stored XSS como criticidad baja y...
Estaba examinando el archivo de registro de mi servidor web esta tarde cuando vi un par de entradas como esta, que no me gustaron y prohibí la IP en iptables.
113.90.122.99 - - [20/Sep/2016:19:07:58 +0100] "GET /maintenance-guide.php?operation...
Tanto Acunetix como Netsparker me advierten sobre el XSS almacenado.
Acunetix
La entrada POST codificada en URL langSelected se estableció en
1' onmouseover=prompt(973181) bad='
La entrada se refleja en www....../home.jsf...
¿Una aplicación móvil escrita con Nativescript, que utiliza un tiempo de ejecución de Javascript multiplataforma, tiene la misma vulnerabilidad XSS que un sitio web?
Estoy probando una aplicación web y encontré una vulnerabilidad XSS. Puedo romper una etiqueta e inyectar algo de código a la aplicación, pero nada potencialmente peligroso para el cliente.
La aplicación tiene un filtro que detecta caracteres...
Burp sugiere que hay una reflexión ... Cambia el valor de una cookie llamada x como x=<script src=abc.js> y, en respuesta, este valor se inyecta en una función javascript ..
<script type="text/javascript">
fnUseX('arg1','<...
Normalmente modifico el archivo / etc / hosts para poder asignar las URL falsas a mi servidor de desarrollo. Cada vez que hago esto, las solicitudes de ajax que se envían tienen, para su encabezado de origen, la url simulada que usé en la asigna...
¿Alguien puede sugerir una hoja de trucos o una lista de tareas pendientes del sitio web y la seguridad de la aplicación?
El propietario de una pequeña empresa local hizo una pregunta sobre la seguridad web, básicamente el sitio web de su emp...