Вопросы с меткой [xss]
Руководство по использованию метки xss отсутствует.
48
вопросов
0
голосов
1
ответ
134
показа
Google reCAPTCHA блокирует работу сайта на ПК
На сайте появился странный баг: при посещении unisem.ru открывается "капча гугловская", которая на самом деле таковой не является. XSS что-ли.
Искал через grep, прогнал через айболит, ничего ...
0
голосов
0
ответов
30
показов
Как избежать XSS и прочих уязвимостей при хранении HTML в бд? (SQL)
У меня есть редактор текста в комментариях и панели администратора (страница добавления статей и прочего) с разными режимами по типу жирный текст/курсив/подчеркнутый и т.д. На других форумах говорят, ...
0
голосов
2
ответа
89
показов
как XSS атака затрагивает других пользователей
Просмотрел различные материалы по XSS атаке (в том числе и многие вопросы здесь, на stackoverflow)
но так и не понял принцип работы такой атаки
В примерах из описания приводят пример по типу
http://...
2
голоса
3
ответа
324
показа
Есть ли какой-нибудь html-тег, внутри которого можно запретить выполнение любых скриптов?
Существует ли какой-нибудь HTML-тег, кроме <iframe>, куда можно было бы поместить "недоверенные" данные, чтобы javascript внутри них не отработал ?
Хочу сделать "быстрый" ...
0
голосов
0
ответов
122
показа
Обход XSS санитизации
Надеюсь кто-нибудь сможет выручить... В чем проблема, в закрытой Bug Bounty программе почти нашел XSS, есть тэг img, а в его src можно встроить что угодно, кроме
' " <> \ и пробела, уже ...
2
голоса
1
ответ
110
показов
Почему не срабатывает xss?
Я написал два варианта одного и того же кода. Суть в том, что пользователь вводит в поле типа input вредоносный код:
<script>alert('xss attack')</script>
В результате jquery-код выполняет ...
1
голос
2
ответа
161
показ
PHP, проверка входящих данных
На сайте все данные, которые передаются через POST и GET состоят из русских и английских букв, цифр и символов тире, нижнее подчеркивание, точка, собака. Для защиты от MySQL inject, XSS, и прочих атак,...
1
голос
0
ответов
142
показа
Защита от xss в Laravel
Прочитал, что в Laravel защита от xss реализована автоматически используя синтаксис двойной привязки ({{$value}}) либо эскейпинг (это одно и то же получается)? Можете объяснить простыми словами, что ...
10
голосов
2
ответа
2k
показов
XSS-атаки: Что нужно использовать вместо innerHTML / insertAdjacentHTML?
В каких случаях можно смело добавлять HTML строкой, а когда нужно избегать такого подхода? И на что тогда заменить их?
0
голосов
1
ответ
100
показов
На каком этапе защищаться от xss: Api или Front?
Есть сайт, на котором начали добавлять модули front (на angular) и api (php).
Встал вопрос, а на каком уровне лучше защищаться от xss? Разработчики бэка и фронта переводят друг на друга.
Доводы в ...
0
голосов
1
ответ
62
показа
Может ли этот код защитить от XSS атаки?
На habr прочитал про необходимость использования hash для пользователей.
Используйте хеши для пользователей. Это поможет предотвратить вызов той или иной функции путём XSS.
$secret_key = md5( ...
0
голосов
0
ответов
134
показа
устранить xss уязвимость (safeHTML)
Сейчас изучаю безопасность в сайтов, появился вопрос, как правильно распарсить HTML код что бы он был безопасным?
source — элемент, в котором лежит исходный HTML, result — элемент, куда нужно вставить ...
1
голос
0
ответов
48
показов
Почему htmlentities не может на 100% обезопасить от XSS?
На Stack Overflow и на других форумах в темах по защите от XSS видел, что люди говорят про то, что htmlentities не спасет во всех случаях, но почему, никто не говорит (или объяснено очень скупо).
Я не ...
0
голосов
0
ответов
122
показа
Безопасная передача переменной из php в js
Как безопасно передать содержимое переменной php в переменную js при условии, что фильтрацию и экранирование символов выполнить невозможно?
Я правильно понимаю, что наиболее безопасным в этом случае ...
0
голосов
2
ответа
164
показа
Защита от XSS в автоматическом режиме для всего сайта
Хочу внедрить автоматическую защиту от xss.
На ум приходит просто в главном файле в цикле перебрать все GET POST запросы и применить к ним htmlspecialchars, вместо того, чтобы вставлять ...
1
голос
1
ответ
140
показов
Вывод html контента на JSF страницу
На сайте есть редактор статей, он генерирует HTML код в зависимости от свойств текста. Его я отправляю на сервер, и чтобы снова вывести на странице просмотра данной статьи приходится отключать замену ...
0
голосов
1
ответ
31
показ
Поддерживается ли директива 'report-to' CSP в Google Chrome?
Поддерживается ли директива 'report-to' CSP в Google Chrome? Складывается такое впечатление что CSP заброшенная технология, по крайне мере google.com её не использует и SO кстати тоже.
На MDN ...
2
голоса
1
ответ
207
показов
Как браузеры распознают XSS атаки? Есть какие либо чёткие алгоритмы?
Вопрос задан в контексте поля заголовка ответа X-XSS-Protection.
Судя по поддержке FireFox подобного функционала не имеет вообще.
2
голоса
1
ответ
79
показов
W3C Security Policy.
Интересует какая-нибудь книга, или хороший ман по w3c. Как искать уязвимости, как их эксплуатировать.
0
голосов
0
ответов
211
показов
Защита от XSS и обратный слеш
На клиенте перед отправкой на сервер отсекаю практически всё за исключением русского, украинского и белорусского шрифтов. Делаю это в первую очередь чтобы пользователь сразу понимал, какие символы он ...
0
голосов
0
ответов
53
показа
Дает ли htmlspecialchars полную неуязвимость к XSS?
Здраствуйте.
Можно ли полностью убезопасить страницу от XSS через input если при помощи htmlspecialchars преобразовать все "<" и ">" на соответствующие спецсимволы < и >?
Или всё же ...
0
голосов
0
ответов
66
показов
как защититься от xss атаки в url-ах,
Доброго времени суток!
Есть сайт, например, http://mysite.ru/ если к пути добавить
?d=1&search=the'"()%25alert(9925)&view=searchd то появляется окошко с надписью 9925. Как этого избежать?
0
голосов
2
ответа
93
показа
Можно ли авторизоваться на сайте скопировав куки?
Начал знакомиться с механизмом сессий возник следующий вопрос. В куках хранится ключ сессии конкретного пользователя, значит ли это, что для входа например в vk с другого устройства достаточно просто ...
0
голосов
1
ответ
69
показов
Какие ранее нерешаемые задачи решает Content Security Policy?
Если мы говорим о XSS, то неужели недостаточно простой функции htmlspecialchars?
Просто мне не совсем понятна логика авторов CSP, если вас конкретно взломали, получив доступ к редактированию страниц ...
0
голосов
0
ответов
51
показ
Фильтрация $_FILES от XSS
В наличии строка кода:
$file_data = file_get_contents($_FILES['attachment']['tmp_name'][$key]);
Каким образом можно отфильтровать данную строку (по тесту - является XSS-уязвимостью).
0
голосов
1
ответ
43
показа
Получение информации из других сайтов на своем сайте
Я хочу сделать для сайта свою форму для перевода английских предложений, переводить их с помощью GoogleTranslate и возвращать обратно на свой сайт. Я слышал про межсайтовый скриптинг, но все же вопрос ...
1
голос
0
ответов
41
показ
Автоматическая проверка на уязвимости [закрыт]
Существует ли opensource GPL* решение, для автоматизации поиска web-уязвимостей? Например какой-нибудь XSS Scanner, либо что-то подобное но в масштабах сканирования кучи хостов?
Вы не подумайте, я не ...
3
голоса
1
ответ
175
показов
Вопрос по xss, не работает JavaScript
Решил понять суть и механизм xss. Написал простенький html:
<html>
<head>
<title>
xss
</title>
</head>
<body>
<H1>
...
1
голос
1
ответ
86
показов
Безопасность от XSS атак и SQL в Smarty
Сайт построен на фреймворке Flightphp, шаблонизаторе Smarty. Единственный инпут от пользователя (форма комментариев), очищается от тегов перед вставкой в бд. Работа с бд с помощью PDO.
Необходимо ли ...
0
голосов
0
ответов
54
показа
Как защититься от xss и sql иньекций [дубликат]
Как защититься от уязвимостей типа xss или sql? Какие данные нужно обрабатывать и как ?
1
голос
2
ответа
523
показа
Безобидная XSS/HTML-Injection
к примеру:
есть на странице кнопка "Назад" -
<a href="*REFERER*">BACK</a>
как вы видите, туда просто подставляется реферер из заголовка... если изменить значение из заголовка, так: "&...
0
голосов
1
ответ
232
показа
Как обойти защиту от XSS на своем сайте админу?
Сайт делаю на Laravel 5.1, php 5.6.
В админке сделал пунки для сохранения HTML блоков на сайте(всякие коды баннеров, рекламные блоки, телефоны и т.д.). Все нормально работает и сохраняет.
НО! когда ...
3
голоса
1
ответ
166
показов
XSS - кавычка вначале
скажите, что означает кавычка и знак больше вначале следующего кода?
"><script>alert(document.cookie)</script>
почему эти знаки ставятся таким образом, приведите пример с какой ...
4
голоса
1
ответ
421
показ
Защита от Self-XSS
Есть ли какие-нибудь защитные алгоритмы от этой атаки?
0
голосов
2
ответа
277
показов
Как фильтровать передаваемые параметры php
Передаю параметры ajax на php обработчик и проверяю с помощью функции mysql_escape_string может ли это защитить от инъекций и ХSS?
$absnum = mysql_escape_string($_POST['id']);
0
голосов
0
ответов
133
показа
chrome не дает сделать xss
В инпут ввожу строку "><script>alert(111);</script>, а хром эскейпит первый quote. Подскажите, как обойти это? Попробовал так же в Microsoft Edge, тоже самое .
source:
<!DOCTYPE ...
0
голосов
1
ответ
374
показа
простейший XSS input
Пусть имеется страница:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8" />
<title>Tag FORM</title>
</head>
<body>
<form>
&...
3
голоса
1
ответ
2k
показов
Защита сайта от взлома [закрыт]
Создал, наконец, свой первый проект. Начитался кучу информации по защите сайта (sql-инъекции и т.д., и т.п.). Но я понимаю, что в сети не рассматриваются все нюансы по защите, поэтому я создал ...
0
голосов
2
ответа
150
показов
Безопасность отправки форм
Когда загружается файл(фото) на сервер, в качестве ответа сервер возвращает форму, где указан путь к картинке на сервере.
После чего отправляется форма, и в Базу данных добавляются пути к загруженным ...
0
голосов
1
ответ
1k
показов
Экранировать символы
Здравствуйте!
На сайте под управлением MODX Revolution 2.2.8-pl (traditional) есть форма, собранна на FormIt. Мне нужно экранировать спец. символы для защиты от XSS атак.
В пример могу привести одно ...
2
голоса
1
ответ
2k
показов
Какие есть опасные управляющие символы юникода?
Какие опасные символа юникода вы знаете и как их экранируете?
Вот пример того как можно применить один из таких символов
http://f-bit.ru/344646
после скачивания файла смотрим на его расширение и ...
0
голосов
0
ответов
534
показа
Реально ли провести XSS атаку если параметры через $_SERVER['REQUEST_URI']?
На сайте вместо $_GET и $_POST используется explode и $_SERVER['REQUEST_URI'] с делением на секции посредством слешей, то есть url выглядят как site.com/parameter
такой своеобразный роутинг.
...
0
голосов
1
ответ
7k
показов
Как работают XSS-атаки?
Что-то я совсем не понимаю как работают XSS-атаки. Нашел как можно защитится от них:
mysql_real_escape_string или PDO, если идут запросы к БД.
htmlspecialchars, а ещё лучше htmlentites.
stript_tags, ...
2
голоса
1
ответ
2k
показов
Защита от XSS атак
Всем привет, если на сайте присутствует такая уязвимость:
site.com/index.php?page=1<script>alert("XSS")</script>
Как можно защититься от нее? Просьба поподробнее.
Допустим:
<?
if(...
0
голосов
1
ответ
1k
показов
Kohana: защита от XSS
Kohana имеет метод http://kohanaframework.org/3.0/guide/api/Security#xss_clean .
$my_test = '<a href="#" onclick="window.location.href = \'http://google.com\'"></a>';
echo Security::...
1
голос
3
ответа
876
показов
Как отключить xss фильтрацию для контроллера asp.net?
Здравствуйте. Пишу админку для сайта, и там при добавлении статьи должна быть отключена xss фильтрация, иначе выскакивает ошибка. Как отключить для этого действия или контроллера xss фильтрацию?
4
голоса
1
ответ
585
показов
Как защититься от чрезмерной "пробивки" адресов через обработчик ajax запросов?
Есть форма, где одно из первых полей сразу после заполнения .on('blur') прозрачно пробивается через БД сайта — зарегистрирован уже такой, или нет? В зависимости от результата, прячется или ...
2
голоса
2
ответа
412
показов
Безопасность от xss
Здравствуйте, есть сайт где я могу добавлять свои свообщения, и вот пишу я
<script>alert('xss')</script> и начинаю просматривать и выскакивает сообщение xss в алерт окошке, как ...