它发现了一个XSS漏洞。扫描步骤: Injected item: POST: localeCountry <--这是一个枚举值,不能更改为XSS字符串并存储在服务器中。注入值:>'>alert("XSS警告!“)检测值:>'>alert("XSS警告!“)在攻击响应页面中检测到,该页面在链接内找到。我认为这是一个无效的漏洞,因为注入的项目不会持久,也不会影响其他用户。最好避开所有参数
浏览 2提问于2012-10-19得票数 0
回答已采纳
1回答
SonarQube检测XSS漏洞
、、、、
我正在尝试用SonarQube设置规则来检测JSP文件中的XSS (跨站点脚本)漏洞。我已经搜索了文档和谷歌,但没有找到任何细节。我是否必须编写自己的自定义规则,或者是否有某个设置?我正在尝试检测的主要XSS漏洞是当<c:out>标记没有在应该使用的地方使用时,如下图所示:
浏览 5提问于2018-05-02得票数 0
我想做两件事:
为此,我需要一个在ASP.NET MVC中更好的示例web应用程序,它具有最常见的漏洞。
浏览 3提问于2013-03-15得票数 1
回答已采纳
我试图检测输入字段中存在盲/存储XSS漏洞。在注入有效负载的“A”页上,该漏洞不会触发。
这很可能是因为易受攻击的字段将值存储在其他地方,这只会触发另一个页面上的有效负载,例如页面'B‘。我如何有效地测试这样的XSS漏洞是否确实存在?
浏览 0提问于2021-12-01得票数 0
我使用一个检测xss漏洞的工具扫描我的站点。因此,该工具生成一个包含httprequest和易受攻击页面响应的报告。现在我的问题是,这个请求和响应如何有助于检测xss?
浏览 0提问于2014-04-03得票数 -1
回答已采纳
任务是检测进入管道的所有提交的XSS漏洞。假设在提交中发现XSS威胁意味着管道应该失败并有原因。 这样做可行吗?在gitlab CI/CD中,javascript或python中有没有通用的安全库来检测XSS威胁(由OWASP指南声明)? 如有任何帮助或建议,我们将不胜感激!
浏览 34提问于2021-06-16得票数 0
></form></html>
XSS拒绝执行“”中的脚本,因为它的源代码在请求中找到。当服务器既没有发送‘XSS保护’,也没有发送‘Content Policy’头时,审核员就启用了。
浏览 5提问于2015-08-13得票数 0
回答已采纳
ids="><SCrIpT>alert('XSS')</ScRiPt>发现了它的一个漏洞import requests
xss_url = 'http://www.foo.bar/index.php?ids
浏览 3提问于2014-10-06得票数 0
我正在为一个项目工作,用python制作一个XSS扫描工具。浏览器中显示了一个与普通url和xss url不同的基本警告框。但是在使用python时,我们如何才能看到它或检测到哪个url是漏洞呢?
有许多XSS工具,如
浏览 0提问于2014-10-05得票数 3
1回答
我有一个SPA应用程序(angularjs前端/restfull WebAPI后端)。SPA被设计为使用客户端路由-即典型的“页面”看起来像
我知道ZAP有"ajax爬行“模式,在这种模式下,它可以”从javascript“获取urls。然而,主动扫描只是发出http请求-所以我怀疑ZAP是否可以在这种情况下使用-或者我错了?
浏览 13提问于2016-08-18得票数 5
我在web应用程序上尝试过一些XSS漏洞,如web98、OWASP、bWAPP。我想知道apache日志文件中跨站点脚本攻击的特性/关键字/足迹,从这些足迹中可以确定XSS攻击已经执行。我知道所有类型的XSS攻击都无法通过日志文件检测到。但是,我希望将任何可能的XSS类型的特性存储到日志文件中。我是否可以知道,为了识别XSS攻击而存储在日志文件中的任何其他功能已经执行过?为了通过访问日志文件检测XSS,我想进一步编
浏览 0提问于2018-12-27得票数 1
2回答
大多数现代浏览器将检测xss尝试(URL中的脚本代码)并阻止执行。是否有任何已知的标准方法来解决这个问题,或者xss攻击现在已经不可能了?
浏览 0提问于2015-07-17得票数 3
回答已采纳
1回答
我收到了GitHub上几个项目的警告:
在package.json中定义的ejs < 2.5.5中检测到已知的中度安全漏洞。该漏洞为创建的11.16.2017。在警报项目中,ejs由express使用,express只与sequelize一起使用。
有人对这个漏洞有洞察力吗?在ejs是静态的和内部由express使用的场景中,XSS是如何可能的?是否有任何实际的用例可以使ejs -> express ->
浏览 0提问于2017-12-02得票数 2
回答已采纳
3回答
我正在寻找ASP.Net中最好的可重用的库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,也易于使用工具来检测这些漏洞,供测试团队使用。
浏览 0提问于2010-07-06得票数 3
回答已采纳
我们开始得到使用Chrome的版本17。版本16运行良好。它似乎抱怨的是,我们做了一个帖子,如果我理解正确的话,回复与我们已经得到的回复是一样的。或者,有没有办法确切地核实它抱怨的是什么?
浏览 2提问于2012-02-13得票数 1
回答已采纳
1回答
我正在了解浏览器针对XSS漏洞使用的不同缓解措施。浏览器用来防御XSS漏洞的主要技术是什么?XSS-保护头在幕后做什么?还有其他针对XSS的安全层吗?
浏览 0提问于2023-01-19得票数 0
1回答
在普通PHP中,有一些防止XSS (跨站点脚本漏洞:strip_tags()我记得Drupal 7有filter_xss()来防止XSS漏洞,但是针对XSS漏洞的Drupal 8策略是什么呢?
浏览 0提问于2016-07-14得票数 8
回答已采纳
来自CVSS v2 完整指南:我知道跨站点脚本可以分为三种主要类型:反射XSS、存储XSS和基于DOM的XSS。然而,为什么XSS的得分部分影响到完整性,而不是对完整性没有影响?如果XSS漏洞是反射XSS</e
浏览 0提问于2016-10-09得票数 3
1回答
我目前正在研究一些XSS应用程序漏洞,特别是像XSS这样的客户端漏洞。我已经读过关于这个问题的一些话题了。他们说在XHTML中注入恶意代码是可能的。如果Vaadin不再易受XSS攻击,那么(理论上)使用客户端漏洞的方法是什么呢?
浏览 0提问于2016-09-21得票数 1
我从一个客户端收到了一份报告,其中列出了XSS漏洞。报告显示了XSS漏洞的反映。在每个漏洞中,反映的有效载荷是单个未关闭的<qss>。通常,当我阅读xss漏洞时,我会看到许多负载,这些负载将试图关闭apostraphe或输入标记,然后注入一个<script>标记或一些任意的javascript。
<qss>标记的意义是什么?如何在xss攻击中使用它?我在google中唯一发现的就是它是一个qt样式表,但我仍然不理解它
浏览 0提问于2015-01-05得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
