[B! xss] [3ページ] efclのブックマーク

efcl id:efcl

xssに関するefclのブックマーク (289)

Chromium Docs - Service Worker Security FAQ
efcl 2020/04/26
XSSとService Worker。 Clear-Site-DataとService-Worker: scriptヘッダの対応

XSS

ServiceWorker
リンク
GitHub - swisskyrepo/PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTF
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2020/02/18
XSSとかいろんな攻撃のペイロードと解説まとめ。

XSS

security
リンク
terjanq on Twitter: "I just got a fancy idea to create strings in #javascript without using dangerous characters 😃 Inspired by… https://t.co/tZoDipsAOQ"
I just got a fancy idea to create strings in #javascript without using dangerous characters 😃 Inspired by… https://t.co/tZoDipsAOQ
efcl 2020/02/01
`()` カッコなしでスクリプト実行

JavaScript

XSS
リンク
フロントエンドエンジニアのためのセキュリティ対策 ~XSS編~ / #frontkansai 2019
FRONTEND CONFERENCE 2019( https://2019.kfug.jp )でセキュリティ、主にXSSについて話をしました。 demo: https://shisama.dev/xss-test # Technical Topics - 3 types of XSS ( …
efcl 2019/11/16
XSSについてのスライド。 XSSの種類(Reflected、Stored、DOM Based)の紹介とそれぞれの典型的な対策。また、CSPやTruested Typesなどの予防策についてなど

XSS

JavaScript

slide
リンク
5,000 USD XSS Issue at Avast Desktop AntiVirus for Windows (Yes, Desktop!)
بسم الله الرحمن الرحيم So, this article will be explained in two ways, which are the one that tells how I got it and the one that tries to explain the basic and reference.Readers could also read the TL;DR section directly. I. TL;DR1.1. Create an SSID Name with a simple XSS Payload (with maximum = 32 characters). We can use BruteLogic and s0md3v short XSS payload (thanks man!). 1.2. Connect your Wi
efcl 2019/11/01
SSIDでXSSを起こす事例

security

XSS
リンク
Side-Channels on the Web: Attacks and Defenses
In this presentation we explore various side-channel attacks in the Web that can be used to leak information on cross-origin responses. These so-called XS-Leaks issues may allow an adversary to extract sensitive information from an unwitting visitor, ranging from personal information this victim shared with social media networks to CSRF tokens, which may lead to full account takeover. Finally, we
efcl 2019/10/18
XS-Leaksについてのスライド。攻撃手法と防御手法について。 CSPm CORB

security

XSS

slide
リンク
Cross-Site Scripting (XSS) Cheat Sheet - 2024 Edition | Web Security Academy
Cross-site scripting (XSS) cheat sheet This cross-site scripting (XSS) cheat sheet contains many vectors that can help you bypass WAFs and filters. You can select vectors by the event, tag or browser and a proof of concept is included for every vector. You can download a PDF version of the XSS cheat sheet. This is a PortSwigger Research project. Follow us on Twitter to receive updates. Downloaded
efcl 2019/09/28
XSSのチートシート。基本的なペイロード、AngularJSやVueなどに合わせたペイロード、CSPバイパスなど

XSS

チートシート
リンク
体系的に学ぶモダン Web セキュリティ (#seccamp 全国大会 2019 B5) / Learn Modern Web Security Systematically
セキュリティ・キャンプ全国大会 2019 開発と運用トラックで提供した講義の資料の一部です。誤りに気がついたら、ぜひ @y0n3uchy あるいは @lmt_swallow にお知らせください。
efcl 2019/08/26
CSP、XS-Leak/XS-Search

XSS

security

slide
リンク
SVGでXSSをしてみる。その1 - cocuh's note
svgにjavascriptが埋め込んだ時の挙動がどう違うのか気になっていろいろ試したのでとりあえずまとめてみます。特に言及していなければfirefoxで試しています。 scriptを混入させたsvgを書く思いつくjavascriptをいれる方法をひと通り入れてみました。明らかに動かなさそうなものやxssじゃないものもはいってますが挙動が気になったので入れてみました。 onclick="console.log()" 内部スクリプトでのelem.onclick = function(){console.log()} 外部スクリプトでのelem.onclick = function(){console.log()} style属性でのexpression: style="stroke-width:expression(console.log())" cssでのexpression: .x
efcl 2019/08/12
SVGでのスクリプト実行

SVG

XSS
リンク
Killing 🐦with 🐛🐛
A journey from subdomain #SELFXSS to site-wide #CSRF @Twitter. A private talk I delivered in 2016.
efcl 2019/08/12
テキストファイルをアップロードしてファイルドメインを表示するSelf XSSをどのように、実際の攻撃に変えたかについて。 OAuthとの連携、Cookie、攻撃者アカウントにログインさせてのCookie書き換え

XSS

slide
リンク
Warn for javascript: URLs in DOM sinks by sebmarkbage · Pull Request #15047 · facebook/react
efcl 2019/08/06
XSSでしか使われない`<a href=javascript:>`などの`javascript:`スキームを使ったリンクなどに対する警告を出すようになった。将来的にはTrusted Typesをサポートする予定

React

security

issue

XSS
リンク
Introduction - Content Security Policy
This documentation is outdated and available for historical reasons only. To learn how to enable strict Content Security Policy in your application, visit web.dev/strict-csp. Content Security Policy is a mechanism designed to make applications more secure against common web vulnerabilities, particularly cross-site scripting. It is enabled by setting the Content-Security-Policy HTTP response header
efcl 2019/07/23
CSP(Content Security Policy)についての解説サイト。 CSPとはどのようにXSSを防ぐのか、使う理由/使わない理由、CSPの設定、FAQなどが書かれている

CSP

security

browser

XSS
リンク
Google deprecates XSS Auditor for Chrome
The age of browser XSS filters is over Google is removing XSS Auditor for Chrome after a series of vulnerabilities have plagued the hotly-contested security feature. The anti-cross-site scripting (XSS) techno logy is to be deprecated and removed, Chromium devs announced last night. XSS Auditor has generated more than a little controversy since it was implemented in Chrome v4 in 2010, with the disco
efcl 2019/07/21
MSEdgeに続いてChromeのXSS Auditorも非推奨となることについて。

Chrome

XSS

article
リンク
GitHub - terjanq/JS-Alpha: Funny project to create an encoder/obfuscator that converts any javascript code into a code that only consist of /[a-z().]/ characters
efcl 2019/05/28
`/[a-z.()]/` の範囲の文字列だけでJavaScriptコード生成

JavaScript

XSS

Tools
リンク
XSS-Payloads/Without-Parentheses.md at master · RenwaX23/XSS-Payloads
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2019/05/12
`()`を使わないXSSペイロード集。カッコを使わないJavaScript集

XSS

JavaScript
リンク
https://14.rs/
efcl 2019/05/08
script srcで読み込んだりするときに利用できる短いドメインのスクリプトファイル

XSS

JavaScript
リンク
XSS in hidden input fields
Published: 16 November 2015 at 11:25 UTC Updated: 14 June 2019 at 12:03 UTC At PortSwigger, we regularly run pre-release builds of Burp Suite against an internal testbed of popular web applications to make sure it's behaving properly. Whilst doing this recently, Liam found a Cross-Site Scripting (XSS) vulnerability in [REDACTED], inside a hidden input element: <input type="hidden" name="redacted"
efcl 2019/04/21
linkタグの`accesskey`を使ってXSSする例

XSS
リンク
Attempted to fix an XSS when noembed or noscript are whitelisted · cure53/DOMPurify@8fafd77
efcl 2019/04/20
noembedとnoscriptを許可しているとパース結果が壊れてXSSができるケース

XSS

JavaScript

DOM
リンク
XSS Polyglot payloads
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2019/04/20
XSSペイロード集

XSS
リンク
XSS on Google Search - Sanitizing HTML in The Client?
An actual XSS on google.com by Masato Kinugawa. It abuses a parsing differential between a JavaScript enabled and disabled context. The fix: https://github.com/google/closure-library/commit/c79ab48e8e962fee57e68739c00e16b9934c0ffa =[ ❤️ Support ]= → per Video: https://www.patreon.com/join/liveoverflow → per Month: https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w/join =[ 🐕 Social ]= →
efcl 2019/04/20
Google検索での`<noscript>`を使ったサニタイズの抜けを利用したXSSの解説 https://github.com/cure53/DOMPurify/releases/tag/1.0.10 by @masatokinugawa

XSS

google

video
リンク
前のページ 1 2 3 4 5 6 7 8 9 10 次のページ

お知らせ

もっと読む

公式Twitter

@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
@hatebu
最新の人気エントリーの配信

キーボードショートカット一覧

j次のブックマーク

k前のブックマーク

lあとで読む

eコメント一覧を開く

oページを開く

設定を変更しましたx