跨站点脚本:任何请求都会导致错误
作者:Alex Aramyan 提问时间:10/26/2023
我正在一个特定的网站上玩我的帐户,我试图在那里更改我的帐户名称(这不可能以任何其他方式进行,因为帐户是在用户访问它们之前预定义的)。我注意到,在我提交表单后,在“更新简历”页面中,我的名字也是 POS...
xss 问答列表
WSO2 Identity Server 6.1.0 上的 CVE-2022-29548
作者:SRUJAN ANNAM 提问时间:10/23/2023
我们正在使用 WSO2 Identity Server 6.1.0,在最新的扫描中,报告它包含 CVE-2022-29548:WSO2 管理控制台 XSS。它已使用“GET /carbon/admin...
JWT (XSS) 与 Cookie (CSRF)?
作者:BooRuleDie 提问时间:10/25/2023
我是一家初创公司的 Python 后端开发人员。最近,我被要求为 API 构建身份验证系统,我使用 Python 的 FastAPI 框架实现了一个基于令牌的身份验证机制 (JWT)。然后前端团队让我...
HTTP 请求标头 Sec-Fetch-Mode 值“navigate”是否指示 SameSite Cookie 策略中使用的顶级导航?
作者:melanie 提问时间:10/24/2023
背景:我正在开发一个应用程序,我正在研究通过修改 cookie 的默认值来进一步限制我的跨站点 cookie。在进行更改之前,我正在进行调查,以便更好地了解哪些请求将受到从 to 的更改的影响。Sam...
如果一个网站不使用 cookie 或 IP 地址进行身份验证,那么它在所有内容上设置 access-control-allow-origin: * 是否安全?
作者:Isaac King 提问时间:10/20/2023
我的理解是,同源策略需要存在,因为浏览器会自动发送任何 cookie 以供 bakery.com 以及任何对 bakery.com 的请求,包括从 evil.com 发起的请求。因此,如果 baker...
当 excel 中的单元格为只读时如何更改对话框消息 - 使用 Apache POI XSSF
作者:user3594089 提问时间:10/18/2023
我使用 Apache POI XSSF 创建了一个 Excel。我需要将某些列设置为只读。因此,我将工作表设置为受保护,然后将可编辑列的单元格样式设置为解锁。 当用户单击任何不可编辑的列时,我会收到有...
从浏览器控制台获取 Cookie
作者:rendoteru 提问时间:11/14/2023
有一位教职员工主持 XSS 漏洞研究的实验室工作。第一页是授权,我们手动完成。第二页有一个文本输入字段和一个发送按钮(但您可以使用“发送”按钮发送文本)。如果您在文本输入字段中输入代码,则可以在开发者...
=3D 在恶意 URL 中的含义
作者:Andrei Herford 提问时间:6/12/2019
我的服务器日志显示多次尝试访问不存在的端。这些是扫描已知漏洞的“常规”机器人。许多 URL 包含 ,例如=3D /?q=3Duser%2Fpassword&name%5B%23p= /user/re...
sql注入和跨站点脚本还是一回事吗?[关闭]
作者:Robybot9 提问时间:5/12/2020
已关闭。这个问题是基于意见的。它目前不接受答案。 想改进这个问题吗?更新问题,以便可以通过编辑这篇文章用事实和引文来回答。 3年前关闭。 改进此问题 在查找有关 Web 攻击的一些信息时,SQ...
检查无效的 UTF-8、转换单个小于符号并出于安全考虑剥离八位字节的原因
作者:hiyo 提问时间:5/2/2020
我正在搜索有关在 Wordpress 上清理用户输入文本区域字段的信息。 我发现了几个消毒功能,但功能之间有一些不同。 我想知道消毒功能的功能之一,sanitize_text_field(字符串$...