xss

Cross-Site-Scripting (XSS) ist eine Art von Sicherheitslücken in Computersystemen, die typischerweise in Webanwendungen zu finden ist und es böswilligen Angreifern ermöglicht, clientseitiges Skript in Webseiten zu importieren, die von anderen Benutzern angezeigt werden. Eine Angreifer können eine Cross-Site-Scripting-Schwachstelle ausnutzen, um Zugriffskontrollen wie die gleiche Ursprungsrichtlinie zu umgehen.
3
Antworten

Wie schütze ich mich gegen XSS-Angriffe in Attributen wie src?

Also habe ich einen C # html-Desinfektor mit HTML Agility mit einer weißen Liste erstellt. Es funktioniert gut, außer für Fälle wie diese: %Vor% Ich möchte das src-Attribut erlauben, nur nicht bösartiges Zeug in ihm offensichtlich. All die S...
07.03.2013, 20:54
1
Antwort

Regex als erste Verteidigungslinie gegen XSS

Ich hatte eine Regex als erste Verteidigungslinie gegen XSS. %Vor% Es ist tatsächlich von Kohana 2.3 . Dies wird mit öffentlich eingegebenem Text ausgeführt (kein HTML) und verweigert die Eingabe, wenn dieser Test fehlschlägt. Der Text w...
20.09.2010, 00:29
2
Antworten

Behandlung von Zeichenreferenzen in den Skript-Tags eines eingebetteten SVGs

Dies ist ein xss-Skript: %Vor% Der Code zwischen <script> -Tags wird vom Browser in alert(1) übersetzt und ausgeführt. Aber wenn ich kein <svg> -Tag verwende, wird der Code nicht ins Skript übersetzt. Kann mir jemand...
20.06.2015, 10:05
2
Antworten

benutze jsonp, um xml cross domain zu erhalten

Ich versuche, XML in eine Webseite von einem anderen Server zu lesen, und ich nehme an, dass mein Problem die gleiche Ursprungsrichtlinie ist und daher ein domänenübergreifendes Problem. Ich habe ein bisschen gegoogelt und es scheint, dass Js...
18.06.2010, 09:21
1
Antwort

Meteor XSS Code Manipulation

Mein Hauptanliegen ist folgendes: da Meteor auf JavaScript basiert, kann es auf der Client-Seite geändert / manipuliert werden. Was passiert also, wenn ich neue Sammlungen ändere oder neu anlege und die db spam, dann nur @ Client-Seite (nur...
25.07.2012, 17:57
1
Antwort

Einfügen von beliebigem JSON in das Skript-Tag von HTML

Ich möchte den Inhalt eines JSON in der Quelle eines HTML-Dokuments in einem Skript-Tag speichern. Der Inhalt dieses JSON hängt von der vom Benutzer übergebenen Eingabe ab. Daher ist große Sorgfalt erforderlich, um diese Zeichenfolge für XSS...
28.08.2016, 16:39
2
Antworten

Lebensdauer und Mehrfachnutzung eines AntiForgeryToken?

Ich versuche, Anti-Roger-Token für die Ajax-Anfragen einer eckigen Anwendung zu implementieren. Gibt es ein Leben lang mit dem Anti-Pilz-Token? Wenn ich die App lange Zeit in einem Webbrowser geöffnet habe, ohne sie zu berühren, sage das für...
12.08.2013, 10:20
3
Antworten

Macht ein Reverse-Proxy node.js sicher?

Ich möchte node.js in die Cloud für eine Anwendung stellen, die sensible Unternehmensinformationen enthält. Ich fürchte, node.js ist nicht so sicher wie einige der älteren Server, da es nicht viel los war. Ich sah Leute, die empfahlen, einen Rev...
14.08.2011, 00:12
7
Antworten

Warum eine Whitelist für die HTML-Bereinigung verwenden?

Ich habe mich oft gefragt, warum eine Whitelist im Gegensatz zu einer Blacklist verwendet wird, wenn HTML-Eingaben bereinigt werden? Wie viele schlaue HTML-Tricks gibt es, um XSS-Sicherheitslücken zu öffnen? Offensichtlich sind Script-Tags un...
19.03.2010, 08:09
6
Antworten

Ist das ein gültiger XSS-Angriff?

Mein Verständnis von XSS-Angriffen konzentrierte sich auf Menschen, die böswillige Eingaben über Formulare eingeben (persistente XSS-Angriffe). Allerdings versuche ich nicht beständig zu verstehen. Ist das ein Beispiel (offensichtlich könnte...
12.01.2010, 09:51