OWASP ZAP informó "alerta (1);" vulnerabilidad XSS, pero no apareció ninguna ventana emergente

OWASP ZAP reportó la vulnerabilidad XSS "alert (1);", pero no pudimos obtener ventanas emergentes en el navegador. ¿Es esto solo un falso positivo? El HTML que rodea el ataque inyectado es: <script ...

¿Qué haría que un proceso java exceda en gran medida el límite de Xmx o Xss?

Tengo 7 demonios java diferentes que ejecuto (todos los 7) en 3 servidores diferentes. La línea de comandos de java tiene -Xmx2048m y -Xss1024k. En estos 3 s...

Codeigniter xss_clean dilema

¿Está createTextNode completamente a salvo de la inyección de HTML y XSS?

Estoy trabajando en una sola página webapp. Estoy haciendo la representación creando directamente nodos DOM. En particular, todos los datos proporcionados po...

¿ASP.NET MVC 4 requiere manejo adicional de XSS por defecto

¿Deseas eliminar los ataques XSS mientras sigues permitiendo html?

Ok, ahora tengo un dilema, necesito permitir que los usuarios inserten HTML en bruto pero también bloqueen todas las etiquetas JS, no solo las etiquetas de s...

Inyección de secuencias de comandos de sitio cruzado

¿Son posibles los ataques XSS a través de direcciones de correo electrónico?

Me pregunto si una dirección de correo electrónico se puede utilizar para los ataques XSS.Supongamos que hay un sitio web donde se puede registrar y da su di...

Cómo acceder al interior del marco

Cómo acceder a iframe:

Prevención ESAPI XSS para la propiedad de URL proporcionada por el usuario

Una de mis API REST está esperando una propiedad "url" que espera una URL como entrada del usuario. Estoy usando ESAPI para evitar ataques XSS. El problema es que la URL proporcionada por el usuario es algo así ...