Вопросы с меткой [xss]

Руководство по использованию метки отсутствует.

Фильтрация
Сортировка
Метки
0 голосов
1 ответ
134 показа

Google reCAPTCHA блокирует работу сайта на ПК

На сайте появился странный баг: при посещении unisem.ru открывается "капча гугловская", которая на самом деле таковой не является. XSS что-ли. Искал через grep, прогнал через айболит, ничего ...
Олег Дудин's user avatar
0 голосов
0 ответов
30 показов

Как избежать XSS и прочих уязвимостей при хранении HTML в бд? (SQL)

У меня есть редактор текста в комментариях и панели администратора (страница добавления статей и прочего) с разными режимами по типу жирный текст/курсив/подчеркнутый и т.д. На других форумах говорят, ...
daddy Mark's user avatar
0 голосов
2 ответа
89 показов

как XSS атака затрагивает других пользователей

Просмотрел различные материалы по XSS атаке (в том числе и многие вопросы здесь, на stackoverflow) но так и не понял принцип работы такой атаки В примерах из описания приводят пример по типу http://...
HaZcker's user avatar
  • 1,298
2 голоса
3 ответа
324 показа

Есть ли какой-нибудь html-тег, внутри которого можно запретить выполнение любых скриптов?

Существует ли какой-нибудь HTML-тег, кроме <iframe>, куда можно было бы поместить "недоверенные" данные, чтобы javascript внутри них не отработал ? Хочу сделать "быстрый" ...
Ruslan Kulakov's user avatar
0 голосов
0 ответов
122 показа

Обход XSS санитизации

Надеюсь кто-нибудь сможет выручить... В чем проблема, в закрытой Bug Bounty программе почти нашел XSS, есть тэг img, а в его src можно встроить что угодно, кроме ' " <> \ и пробела, уже ...
user avatar
2 голоса
1 ответ
110 показов

Почему не срабатывает xss?

Я написал два варианта одного и того же кода. Суть в том, что пользователь вводит в поле типа input вредоносный код: <script>alert('xss attack')</script> В результате jquery-код выполняет ...
cyklop77's user avatar
  • 1,791
1 голос
2 ответа
161 показ

PHP, проверка входящих данных

На сайте все данные, которые передаются через POST и GET состоят из русских и английских букв, цифр и символов тире, нижнее подчеркивание, точка, собака. Для защиты от MySQL inject, XSS, и прочих атак,...
Александр's user avatar
1 голос
0 ответов
142 показа

Защита от xss в Laravel

Прочитал, что в Laravel защита от xss реализована автоматически используя синтаксис двойной привязки ({{$value}}) либо эскейпинг (это одно и то же получается)? Можете объяснить простыми словами, что ...
user394501's user avatar
10 голосов
2 ответа
2k показов

XSS-атаки: Что нужно использовать вместо innerHTML / insertAdjacentHTML?

В каких случаях можно смело добавлять HTML строкой, а когда нужно избегать такого подхода? И на что тогда заменить их?
OPTIMUS PRIME's user avatar
0 голосов
1 ответ
100 показов

На каком этапе защищаться от xss: Api или Front?

Есть сайт, на котором начали добавлять модули front (на angular) и api (php). Встал вопрос, а на каком уровне лучше защищаться от xss? Разработчики бэка и фронта переводят друг на друга. Доводы в ...
IVsevolod's user avatar
  • 6,734
0 голосов
1 ответ
62 показа

Может ли этот код защитить от XSS атаки?

На habr прочитал про необходимость использования hash для пользователей. Используйте хеши для пользователей. Это поможет предотвратить вызов той или иной функции путём XSS. $secret_key = md5( ...
Jamdeveloper's user avatar
0 голосов
0 ответов
134 показа

устранить xss уязвимость (safeHTML)

Сейчас изучаю безопасность в сайтов, появился вопрос, как правильно распарсить HTML код что бы он был безопасным? source — элемент, в котором лежит исходный HTML, result — элемент, куда нужно вставить ...
Тимур's user avatar
1 голос
0 ответов
48 показов

Почему htmlentities не может на 100% обезопасить от XSS?

На Stack Overflow и на других форумах в темах по защите от XSS видел, что люди говорят про то, что htmlentities не спасет во всех случаях, но почему, никто не говорит (или объяснено очень скупо). Я не ...
JustLearn's user avatar
  • 672
0 голосов
0 ответов
122 показа

Безопасная передача переменной из php в js

Как безопасно передать содержимое переменной php в переменную js при условии, что фильтрацию и экранирование символов выполнить невозможно? Я правильно понимаю, что наиболее безопасным в этом случае ...
Turambar's user avatar
  • 373
0 голосов
2 ответа
164 показа

Защита от XSS в автоматическом режиме для всего сайта

Хочу внедрить автоматическую защиту от xss. На ум приходит просто в главном файле в цикле перебрать все GET POST запросы и применить к ним htmlspecialchars, вместо того, чтобы вставлять ...
fooloro's user avatar
1 голос
1 ответ
140 показов

Вывод html контента на JSF страницу

На сайте есть редактор статей, он генерирует HTML код в зависимости от свойств текста. Его я отправляю на сервер, и чтобы снова вывести на странице просмотра данной статьи приходится отключать замену ...
Ельцов Данил's user avatar
0 голосов
1 ответ
31 показ

Поддерживается ли директива 'report-to' CSP в Google Chrome?

Поддерживается ли директива 'report-to' CSP в Google Chrome? Складывается такое впечатление что CSP заброшенная технология, по крайне мере google.com её не использует и SO кстати тоже. На MDN ...
user avatar
2 голоса
1 ответ
207 показов

Как браузеры распознают XSS атаки? Есть какие либо чёткие алгоритмы?

Вопрос задан в контексте поля заголовка ответа X-XSS-Protection. Судя по поддержке FireFox подобного функционала не имеет вообще.
user avatar
2 голоса
1 ответ
79 показов

W3C Security Policy.

Интересует какая-нибудь книга, или хороший ман по w3c. Как искать уязвимости, как их эксплуатировать.
69 420 1970's user avatar
  • 1,951
0 голосов
0 ответов
211 показов

Защита от XSS и обратный слеш

На клиенте перед отправкой на сервер отсекаю практически всё за исключением русского, украинского и белорусского шрифтов. Делаю это в первую очередь чтобы пользователь сразу понимал, какие символы он ...
118_64's user avatar
  • 693
0 голосов
0 ответов
53 показа

Дает ли htmlspecialchars полную неуязвимость к XSS?

Здраствуйте. Можно ли полностью убезопасить страницу от XSS через input если при помощи htmlspecialchars преобразовать все "<" и ">" на соответствующие спецсимволы &lt; и &gt;? Или всё же ...
Andrew's user avatar
  • 19
0 голосов
0 ответов
66 показов

как защититься от xss атаки в url-ах,

Доброго времени суток! Есть сайт, например, http://mysite.ru/ если к пути добавить ?d=1&search=the'"()%25alert(9925)&view=searchd то появляется окошко с надписью 9925. Как этого избежать?
Jabbar Guliyev's user avatar
0 голосов
2 ответа
93 показа

Можно ли авторизоваться на сайте скопировав куки?

Начал знакомиться с механизмом сессий возник следующий вопрос. В куках хранится ключ сессии конкретного пользователя, значит ли это, что для входа например в vk с другого устройства достаточно просто ...
Alternative Reality's user avatar
0 голосов
1 ответ
69 показов

Какие ранее нерешаемые задачи решает Content Security Policy?

Если мы говорим о XSS, то неужели недостаточно простой функции htmlspecialchars? Просто мне не совсем понятна логика авторов CSP, если вас конкретно взломали, получив доступ к редактированию страниц ...
user avatar
0 голосов
0 ответов
51 показ

Фильтрация $_FILES от XSS

В наличии строка кода: $file_data = file_get_contents($_FILES['attachment']['tmp_name'][$key]); Каким образом можно отфильтровать данную строку (по тесту - является XSS-уязвимостью).
user3774771's user avatar
0 голосов
1 ответ
43 показа

Получение информации из других сайтов на своем сайте

Я хочу сделать для сайта свою форму для перевода английских предложений, переводить их с помощью GoogleTranslate и возвращать обратно на свой сайт. Я слышал про межсайтовый скриптинг, но все же вопрос ...
Naddyson's user avatar
1 голос
0 ответов
41 показ

Автоматическая проверка на уязвимости [закрыт]

Существует ли opensource GPL* решение, для автоматизации поиска web-уязвимостей? Например какой-нибудь XSS Scanner, либо что-то подобное но в масштабах сканирования кучи хостов? Вы не подумайте, я не ...
user229772's user avatar
3 голоса
1 ответ
175 показов

Вопрос по xss, не работает JavaScript

Решил понять суть и механизм xss. Написал простенький html: <html> <head> <title> xss </title> </head> <body> <H1> ...
kBro's user avatar
  • 129
1 голос
1 ответ
86 показов

Безопасность от XSS атак и SQL в Smarty

Сайт построен на фреймворке Flightphp, шаблонизаторе Smarty. Единственный инпут от пользователя (форма комментариев), очищается от тегов перед вставкой в бд. Работа с бд с помощью PDO. Необходимо ли ...
Zhenya40's user avatar
  • 183
0 голосов
0 ответов
54 показа

Как защититься от xss и sql иньекций [дубликат]

Как защититься от уязвимостей типа xss или sql? Какие данные нужно обрабатывать и как ?
Accami's user avatar
  • 536
1 голос
2 ответа
523 показа

Безобидная XSS/HTML-Injection

к примеру: есть на странице кнопка "Назад" - <a href="*REFERER*">BACK</a> как вы видите, туда просто подставляется реферер из заголовка... если изменить значение из заголовка, так: "&...
cmd's user avatar
  • 1,530
0 голосов
1 ответ
232 показа

Как обойти защиту от XSS на своем сайте админу?

Сайт делаю на Laravel 5.1, php 5.6. В админке сделал пунки для сохранения HTML блоков на сайте(всякие коды баннеров, рекламные блоки, телефоны и т.д.). Все нормально работает и сохраняет. НО! когда ...
docxplusgmoon's user avatar
3 голоса
1 ответ
166 показов

XSS - кавычка вначале

скажите, что означает кавычка и знак больше вначале следующего кода? "><script>alert(document.cookie)</script> почему эти знаки ставятся таким образом, приведите пример с какой ...
cmd's user avatar
  • 1,530
4 голоса
1 ответ
421 показ

Защита от Self-XSS

Есть ли какие-нибудь защитные алгоритмы от этой атаки?
cmd's user avatar
  • 1,530
0 голосов
2 ответа
277 показов

Как фильтровать передаваемые параметры php

Передаю параметры ajax на php обработчик и проверяю с помощью функции mysql_escape_string может ли это защитить от инъекций и ХSS? $absnum = mysql_escape_string($_POST['id']);
modelfak's user avatar
  • 1,591
0 голосов
0 ответов
133 показа

chrome не дает сделать xss

В инпут ввожу строку "><script>alert(111);</script>, а хром эскейпит первый quote. Подскажите, как обойти это? Попробовал так же в Microsoft Edge, тоже самое . source: <!DOCTYPE ...
voipp's user avatar
  • 2,444
0 голосов
1 ответ
374 показа

простейший XSS input

Пусть имеется страница: <!DOCTYPE HTML> <html> <head> <meta charset="utf-8" /> <title>Tag FORM</title> </head> <body> <form> &...
voipp's user avatar
  • 2,444
3 голоса
1 ответ
2k показов

Защита сайта от взлома [закрыт]

Создал, наконец, свой первый проект. Начитался кучу информации по защите сайта (sql-инъекции и т.д., и т.п.). Но я понимаю, что в сети не рассматриваются все нюансы по защите, поэтому я создал ...
Deus's user avatar
  • 1,664
0 голосов
2 ответа
150 показов

Безопасность отправки форм

Когда загружается файл(фото) на сервер, в качестве ответа сервер возвращает форму, где указан путь к картинке на сервере. После чего отправляется форма, и в Базу данных добавляются пути к загруженным ...
Jony's user avatar
  • 1,998
0 голосов
1 ответ
1k показов

Экранировать символы

Здравствуйте! На сайте под управлением MODX Revolution 2.2.8-pl (traditional) есть форма, собранна на FormIt. Мне нужно экранировать спец. символы для защиты от XSS атак. В пример могу привести одно ...
wadik's user avatar
  • 3
2 голоса
1 ответ
2k показов

Какие есть опасные управляющие символы юникода?

Какие опасные символа юникода вы знаете и как их экранируете? Вот пример того как можно применить один из таких символов http://f-bit.ru/344646 после скачивания файла смотрим на его расширение и ...
fdjgfjfgdj's user avatar
0 голосов
0 ответов
534 показа

Реально ли провести XSS атаку если параметры через $_SERVER['REQUEST_URI']?

На сайте вместо $_GET и $_POST используется explode и $_SERVER['REQUEST_URI'] с делением на секции посредством слешей, то есть url выглядят как site.com/parameter такой своеобразный роутинг. ...
BlackSwan's user avatar
0 голосов
1 ответ
7k показов

Как работают XSS-атаки?

Что-то я совсем не понимаю как работают XSS-атаки. Нашел как можно защитится от них: mysql_real_escape_string или PDO, если идут запросы к БД. htmlspecialchars, а ещё лучше htmlentites. stript_tags, ...
koza4ok's user avatar
  • 1,710
2 голоса
1 ответ
2k показов

Защита от XSS атак

Всем привет, если на сайте присутствует такая уязвимость: site.com/index.php?page=1<script>alert("XSS")</script> Как можно защититься от нее? Просьба поподробнее. Допустим: <? if(...
evansive's user avatar
  • 581
0 голосов
1 ответ
1k показов

Kohana: защита от XSS

Kohana имеет метод http://kohanaframework.org/3.0/guide/api/Security#xss_clean . $my_test = '<a href="#" onclick="window.location.href = \'http://google.com\'"></a>'; echo Security::...
zloctb's user avatar
  • 2,480
1 голос
3 ответа
876 показов

Как отключить xss фильтрацию для контроллера asp.net?

Здравствуйте. Пишу админку для сайта, и там при добавлении статьи должна быть отключена xss фильтрация, иначе выскакивает ошибка. Как отключить для этого действия или контроллера xss фильтрацию?
Eriendel's user avatar
  • 632
4 голоса
1 ответ
585 показов

Как защититься от чрезмерной "пробивки" адресов через обработчик ajax запросов?

Есть форма, где одно из первых полей сразу после заполнения .on('blur') прозрачно пробивается через БД сайта — зарегистрирован уже такой, или нет? В зависимости от результата, прячется или ...
Sergiks's user avatar
  • 30.7k
2 голоса
2 ответа
412 показов

Безопасность от xss

Здравствуйте, есть сайт где я могу добавлять свои свообщения, и вот пишу я <script>alert('xss')</script> и начинаю просматривать и выскакивает сообщение xss в алерт окошке, как ...
dogmar's user avatar
  • 1,139