xss

Здравствуйте. Набрел я на днях на XSS уязвимость такого рода: вводишь ссылку на ресурс с каким-то GET параметром- отображается новая страница, в коде которой несколько раз встречается очищенная от некоторых символов введенная ссылка. В общем в одном месте я обошел фильтры... где че надо...

Здравствуйте, возможна ли xss атака через домен 3 уровня? Например, если я могу вживлять свои скрипты в код на сайте hello.example.com, то могу ли я украсть куки пользователя с сайта bye.example.com, который посещает мой сайт и который зарегистрирован на bye.example.com?

Здравствуйте, можно ли каким-нибудь образом осуществить XSS-атаку, внедрив js-код в jpg или png? Знаю, что это можно сделать через exif-параметры изображения, но exif используется очень немногими сайтами, так что этот вариант сразу отпадает. Я не совсем понимаю, как сайт взаимодействует с...

после просмотра одного видео парня про поиск xss (в котором он говорит, что 95% уязвимы) пытался ручками через раздел поиска у разных сайтов выйти за пределы атрибутов методом qwe" но абсолютно на каждом сайте получал ...... value=" qwe" " .... санитизации нет, но и из атрибута я никак не могу...

Здравствуйте и прошу прощения за сию тему, но сильно меня в данный час она заботить начала. Итак, перейдём сразу к делу. Имеется сайт, использующий библиотеки jquery, которые входят в java. И вот вопрос: как внедрить свой(и по возможности какой) js-код в код самого сайта, либо его страницы...

Приветствую! Есть такой код, вроде как есть xss уязвимость с использованием referrer заголовка var script = document.createElement('script'); script.type = 'text/javascript'; script.async = true; script.src = '/client.js?q=' + encodeURIComponent(document.referrer) + '&a=qwerty'; Но пока не...

Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с...

Подскажите, в строке поиска есть xss, но в url стоит фильтр. Xss сохраняется в браузере клиента(Если переходить по другим ссылкам и вернуться на страницу с хсс, то она снова воспроизведется). Может такая хсс быть опасной?

Межсайтовый скриптинг является одной из наиболее распространенных и популярных веб-атак. Он позволяет злоумышленнику вводить код в веб-приложения на стороне клиента, которые затем просматриваются жертвами. Последствия и воздействие могут варьироваться в зависимости от типа атаки и контекста, в...

Добрый день, прохожу по потихоньку CTF(XSS - Stored 2) на площадке root-me, во общем задача как всегда угнать cookies админа, так как насколько я понимаю в те времена когда создавали данный challenge еще не было флага 'http only'. Итак нашел input который вроде пропускает все символы, что я...

В общем нашел уязвимость на сайте онлайн обменника криптовалют но не знаю как раскрутить ее. Cross site scripting Vulnerability Description arrow_drop_up Cross-site Scripting (XSS) refers to client-side code injection attack wherein an attacker can execute malicious scripts into a legitimate...

В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Структура статьи 1. Что значит "Out-of-band"? 2. Blind уязвимости 2.1 Blind SQL Injection 2.2 Blind Command Injection 2.3 Blind Cross-site Scripting 3...

На сайте все еще не прикрыли уязвимости, так что вы сможете увидеть и потрогать их "вживую" - Фирменный интернет магазин Xiaomi в Севастополе и Крыму Mi-XX. Рассказываю я о них потому, что владелец не захотел нормально общаться, сначала заигнорив на почте, а потом и вовсе добавив меня в ЧС во...

Как многие читающие, наверняка, знают, в середине апреля 2019 года была обнаружена уязвимость удаленного выполнения кода в клиенте EA Origin (CVE-2019-11354). О ней и некоторых других багах, @zer0pwn с другом @Daley решили рассказать на страницах своего блога. Отладка Origin Многие...

Добрый день. Решил взглянуть что там, на соседнем борде творится. Пролистал несколько страниц разных статей, и случайно увидел тему "Simple Botnet на C# — Часть 1". Эти статьи я писал еще где-то 5 месяцев назад. В теме есть все три части этой статьи. Как то не по себе, что наши премиум-статьи...

XSStrike - это пакет обнаружения межсайтовых сценариев, оснащенный четырьмя рукописными анализаторами, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и невероятно быстрым сканером. Самый передовой XSS Detection Suite: XSStrike Вместо того, чтобы вводить полезные...

Поднял сайт. Возможно ли в автоматическом режиме получать все куки браузера посетителя сайта? Что то такое делает BeFF, но там все нужно делать ручками. А как автоматизировать - я что то не сообразил (. Есть ли подобное в Метасплойте? Или подскажите фреймворк для таких целей. По рассказам...

Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда...

Есть api на Swager 2.0 Swagger UI как можно реализовать XSS атак и защиту? Пример реализации атаки R7-2016-19: Persistent XSS via Unescaped Parameters in Swagger-UI (CVE-2016-5682)

Всем салют, вот наткнулся сегодня случайно на игру от компании Google, которая позволяет потренировать свои навыки работы с приложениями, которые не достаточно качественно фильтруют пользовательский ввод, в следствии чего появляется возможность выполнения кода не предусмотренного логикой...