نوشته‌شده در

html – چه چیزی ما را متوقف می کند از استفاده از برچسب برای متوقف کردن XSS؟

من فکر نمی کنم که واقعا کمک می کنم

اگر به درستی درک کنم، شما پیشنهاد یک طرح مانند این: 


     "$ کاربر ارائه شده ورودی"

درست است؟

مانع از خروج از آن با ارائه ورودی: 

 "

به طوری که منبع صفحه خواهد شد: 


    " "" [19659004] صفحه تجزیه می شود،   من در    در DOM نخواهد بود.  (HTML که بعد از آن شکسته خواهد شد، اما از آنجا که HTML تجزیه می شود از بالا به پایین، loadload من آن را به DOM، پس چه کسی مراقبت؟) 






 شما این را در این سوال: 




  
 به راحتی می توان کسی را تشخیص داد که تلاش می کند از این زمینه غیر برنامه نویسی خارج شود، زیرا برچسب باید ظاهر شود. 





 اما این بدان معنی است که در هیچ شرایطی رشته "" به عنوان متن در هر نقطه به عنوان اینترنت به نظر می رسد یک مشکل است. اگر اگر مثلا می خواستید یک وبلاگ بنویسید که چگونه از این ویژگی استفاده کند؟

</p> <pre>html - چه چیزی ما را متوقف می کند از استفاده از برچسب برای متوقف کردن XSS؟<br />

نوشته‌شده در

javascript – آیا این کد به عنوان نا امن به نظر می رسد؟

شرکتی که من برای آن کار می کنم، به دنبال یک پردازنده پرداخت هستیم. ایده آل ما می خواهیم یک راه حل کامل و یکپارچه یکپارچه. من از این یکی از شرکت های توصیه شده که باید به

نگاه کردم این را دیدم. این یک صفحه نمونه است. من هنوز یک حساب کاربری شبیه سازی ندارم اما واقعا می خواهم چیزی را امتحان کنم (اما من یک درخواست را درخواست کردم).

در اینجا قطعه کد فوری یک مشکل وجود دارد:

بقیه اینجا بیشتر از HTML از " صفحه نمونه 'سند هدر و برچسب بدن. 


 
 ژنراتور امضای API شرکت.js 



 

     SECRET_KEY: 
      API Sig1 
 




 

     ACCOUNT_ID: 
    
          API Sig2 

         حساب کاربری 12 رقمی 2.0 شناسه حساب
    		
 


 

     امضای API: 
    
        

        

         MD5 هش کلید مخفی و شناسه حساب
    

این یک کتابخانه هشتگ MD5 سفارشی از خودشان است.

این به من به عنوان ضعف به عنوان امنیت جهنم اعتصاب.

  • A. هشل MD5 وحشتناک است
  • B. به هر حال، بی اهمیت است که کد هش را نادیده بگیریم و "راز" ماست
    بیرون من از طریق اسناد بیشتر خواندن را انجام می دهم تا اطمینان حاصل کنم که اینطور نیست
    گنگ به نظر می رسد

آیا ارسال مستقیم هنوز یک ایده صوتی است؟ Authorize.NET
   به نظر می رسید که یکی از بزرگ با Accept.JS. متاسفانه هزینه های آنها
   ما را بکشاند

یا این قطعه، نشان دادن پایان بیشتر به پایان دادن به عملکرد. امنیت را نمی بینم: 




     Encryption Company & amp؛ Tokenization 
    
    



 




    

    

         اطلاعات شما 
        

            

            

            
        
        
    


    

         اطلاعات اعتبار

نوشته‌شده در

چگونه مرورگر شخصیت های فرار در جاوا اسکریپت (XSS) را تجزیه می کند؟

من به حملات XSS جدید هستم. اخیرا، من یک پروژه انجام دادم و متوجه شدم که یکی از زمینه های ورودی من ( وب سایت ) آسیب پذیر است به حمله XSS . ارزش در فیلد وب سایت به یک برچسب href از یک برچسب [19459006 که باعث حمله XSS می شود، وارد می شود.

برای بررسی شیوه های مختلفی که حمله XSS را می توان انجام داد، من یک سند Github را در آنجا یافتم که کد زیر را پیدا کردم 

  j  av  a  s  cr  i  pt :  a  l  ert  (1 )

هنگامی که کد بالا به قسمت ورودی وارد می شود، برچسب لنگر به شرح زیر می شود: 

  کد نمونه

با کلیک روی لینک بالا، یک جعبه هشدار ظاهر می شود نمایش 1

پرسش:

کد بالا را تجزیه و اجرا شده توسط مرورگر زمانی که کاربر کلیک بر روی آن من درباره توالی فرار خواندن را خواندهایم، اما شخصیت های فرار از بالا، من را در معضل قرار می دهد.

با تشکر

نوشته‌شده در

html – Bypass for =، &،؟، و +

نشانی اینترنتی https: //████████████████/█████؟ blank =

وقتی ورودی (به عنوان مثال):

  • https: //████████████████/█████ خالی = 123456 بعدا می بینم:
    اینجا را کلیک کنید

  • https: //████████████████/█████؟ خالی = 123 (foo = bar = baz) بعدا می بینم:
    اینجا را کلیک کنید

  • https: //████████████████/█████؟ blank = 123 & 456 بعدا می بینم:
    توضیحات تصویر را اینجا وارد کنید

اما این درخواستها برای جستجو در سایت کار نمی کنند. اگر من فقط URL بدون پارامتر را باز کنید؟ خالی مانند آن ((19459003) https: //████████████████/█████ ) و ورودی 123 (foo = bar = baz) در جعبه جستجو، URL بعدی شما را دریافت خواهد کرد:

  • https: //█████████.com /"████؟q_query=123(foo٪3Dbar٪3Dbaz)&...[[]19659008]enter image description here "/>

My Q: چگونه برای دور زدن برای = و & برای نمونه های 2 و 3

</p> <pre>html - Bypass for =، &،؟، و +<br />