preguntar acerca de xss

9
réponses

L’encodage HTML empêchera-t-il toutes sortes d’attaques XSS?

Je ne suis pas préoccupé par d'autres types d'attaques. Je veux juste savoir si HTML Encode peut empêcher toutes sortes d'attaques XSS. Existe-t-il un moyen de faire une attaque XSS même si L'encodage HTML est utilisé? ... …
demandé sur 1970-01-01 00:33:28
3
réponses

Script intersite dans les feuilles de style CSS

Est-il possible d'utiliser des scripts intersite dans une feuille de style CSS? Par exemple, une feuille de style de référence contient du code malveillant, comment feriez-vous cela? Je sais que vous pouvez utiliser des balises de style, mais qu'en e …
demandé sur 1970-01-01 00:33:30
4
réponses

PHP SELF et XSS

J'ai trouvé un article affirmant que $_SERVER['PHP_SELF'] est vulnérable à XSS. Je ne suis pas sûr de l'avoir bien compris, mais je suis presque sûr que c'est faux. Comment cela peut-il être vulnérable aux attaques XSS!? <form method="post" act …
demandé sur 1970-01-01 00:33:31
3
réponses

Qu’est-ce que L’Inclusion de Script Cross Site (XSSI)?

J'ai récemment vu XSSI mentionné sur plusieurs pages, par exemple Web Application Exploits and Defenses : Les navigateurs empêchent les pages d'un domaine de lire des pages dans d'autres domaines. Mais ils n'empêchent pas les pages d'un domaine …
demandé sur 1970-01-01 00:33:31
4
réponses

php-est Filtre SANITIZE e-mail inutile?

Je ne fais que créer un formulaire d'inscription, et je ne cherche qu'à insérer des e-mails valides et sûrs dans la base de données. plusieurs sites (y compris w3schools) recommandent d'exécuter FILTER_SANITIZE_EMAIL avant D'exécuter FILTER_VALIDAT …
demandé sur 1970-01-01 00:33:31
4
réponses

Attaques XSS et attributs de style

Il y a l'Attribut de Style attaques XSS comme: <DIV STYLE="width: expression(alert('XSS'));"> Ou <DIV STYLE="background-image: url(javascript:alert('XSS'))"> Tous les exemples j'ai vu utilisez la fonctionnalité d'expression ou d'url …
demandé sur 1970-01-01 00:33:30
5
réponses

Comment assainir le code HTML en Java pour prévenir les attaques XSS?

je cherche classe/util etc. pour assainir le code HTML, c'est-à-dire supprimer les étiquettes dangereuses, les attributs et les valeurs pour éviter les attaques XSS et similaires. je reçois du code html de l'éditeur de texte riche (par exemple Tiny …
demandé sur 1970-01-01 00:33:30
8
réponses

Le meilleur regex pour attraper l’attaque XSS (Cross-Site Scripting) (en Java)?

Jeff a effectivement posté à ce sujet dans Sanitize HTML. Mais son exemple est en C# et je suis en fait plus intéressé par une version Java. Est-ce que quelqu'un a une meilleure version pour Java? Son exemple est-il suffisant pour convertir directem …
demandé sur 1970-01-01 00:33:28
3
réponses

Attaque XSS pour contourner la fonction htmlspecialchars () dans l’attribut value

disons que nous avons ce formulaire, et le possible pour un utilisateur d'injecter du code malveillant est en-dessous de ... <input type=text name=username value= <?php echo htmlspecialchars($_POST['username']); ?>> ... nous ne …
demandé sur 1970-01-01 00:33:30
7
réponses

Comment désactiver temporairement la protection XSS dans les navigateurs modernes pour les tests?

est-il possible de désactiver temporairement la protection XSS des navigateurs modernes à des fins de test? j'essaie d'expliquer à un collègue ce qui se passe quand on envoie ceci à un formulaire Web XSS-vulnerable: <script>alert("Danger");& …
demandé sur 1970-01-01 00:33:32