#xss — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #xss, aggregated by home.social.
-
#Development #Introductions
The HTML Sanitizer API · Safer web development with HTML sanitization https://ilo.im/16cqyw_____
#HTML #Sanitization #ProgressiveEnhancement #Security #XSS #APIs #Browsers #WebDev #Frontend #DOM -
[Перевод] Проблемы санации SVG
Рендерер Scratch имеет долгую историю связанных с SVG уязвимостей. Их источником становится то, что Scratch парсит сгенерированный пользователем (то есть контролируемый нападающими) контент в элемент <svg> и добавляет его в основной документ для выполнения различных операций (например, для измерения ограничивающего прямоугольника SVG более надёжным образом, чем viewbox или width/height). Даже если SVG остаётся в основном документе очень недолго, это небезопасная по своей природе операция. Для обеспечения защиты Scratch реализовывал всё более сложную инфраструктуру парсинга SVG и находящейся внутри разметки, чтобы устранить опасные части. Я считаю, что подход Scratch к санации SVG обречён на провал. Чтобы объяснить это, нам нужно совершить путешествие по истории санации SVG в Scratch и посмотреть, насколько хорошо он с этим справлялся.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
Angriffe auf Cisco SD-WAN, #Zimbra, #TeamCity, #PaperCut und mehr beobachtet | Security https://www.heise.de/news/Angriffe-auf-Cisco-SD-WAN-Zimbra-TeamCity-PaperCut-und-mehr-beobachtet-11265225.html #Patchday #XSS #CrossSiteScripting #exploit
-
n8n: Updates fix critical security vulnerabilities in automation platform
The update was announced to all admins via email; they should apply it promptly. Code injection is a risk.
-
n8n: Updates beheben kritische Sicherheitslücken in Automatisierungsplattform
Die Aktualisierung wurde per E-Mail allen Admins angekündigt, diese sollten sie nun prompt einspielen. Es droht Code-Einschleusung.
-
Some really nice things arrived in #browser land in February 2026 (i.e. "Baseline Newly available"):
Trusted Types API (prevent DOM-based cross-site scripting):
https://web.dev/articles/trusted-types`Map.prototype.getOrInsert()`:
https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Map/getOrInsertZstandard compression (only server-side via `Content-Encoding` for now it seems, so no support in #JavaScript `CompressionStream` / `DecompressionStream` yet):
https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Encoding -
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.
-
Du hast sicher schon erlebt, dass eine Variable „weg“ ist, sobald eine Methode fertig ist. Gleichzeitig scheinen Objekte manchmal ewig zu leben - bis plötzlich der Speicher knapp wird. Das ist kein Zufall, sondern hängt daran, *wo* Java Dinge ablegt. Wenn du Heap, Stack und Metaspace einmal sa
https://magicmarcy.de/heap-stack-und-metaspace-warum-variablen-verschwinden-und-objekte-nicht
#Heap #Stack #Metaspace #Lebensdauer #Speicher #Xms #Xmx #Xss #Programming #Java #JVM #Coding
-
Du hast sicher schon erlebt, dass eine Variable „weg“ ist, sobald eine Methode fertig ist. Gleichzeitig scheinen Objekte manchmal ewig zu leben - bis plötzlich der Speicher knapp wird. Das ist kein Zufall, sondern hängt daran, *wo* Java Dinge ablegt. Wenn du Heap, Stack und Metaspace einmal sa
https://magicmarcy.de/heap-stack-und-metaspace-warum-variablen-verschwinden-und-objekte-nicht
#Heap #Stack #Metaspace #Lebensdauer #Speicher #Xms #Xmx #Xss #Programming #Java #JVM #Coding
-
Du hast sicher schon erlebt, dass eine Variable „weg“ ist, sobald eine Methode fertig ist. Gleichzeitig scheinen Objekte manchmal ewig zu leben - bis plötzlich der Speicher knapp wird. Das ist kein Zufall, sondern hängt daran, *wo* Java Dinge ablegt. Wenn du Heap, Stack und Metaspace einmal sa
https://magicmarcy.de/heap-stack-und-metaspace-warum-variablen-verschwinden-und-objekte-nicht
#Heap #Stack #Metaspace #Lebensdauer #Speicher #Xms #Xmx #Xss #Programming #Java #JVM #Coding
-
Du hast sicher schon erlebt, dass eine Variable „weg“ ist, sobald eine Methode fertig ist. Gleichzeitig scheinen Objekte manchmal ewig zu leben - bis plötzlich der Speicher knapp wird. Das ist kein Zufall, sondern hängt daran, *wo* Java Dinge ablegt. Wenn du Heap, Stack und Metaspace einmal sa
https://magicmarcy.de/heap-stack-und-metaspace-warum-variablen-verschwinden-und-objekte-nicht
#Heap #Stack #Metaspace #Lebensdauer #Speicher #Xms #Xmx #Xss #Programming #Java #JVM #Coding
-
Warnung vor Angriffen auf Cisco FMC, #SharePoint und #Zimbra | Security https://www.heise.de/news/Warnung-vor-Angriffen-auf-Cisco-FMC-SharePoint-und-Zimbra-11217003.html #Patchday #XSS #CrossSiteScripting
-
Webmailer #Roundcube: Kritische Lücken erlauben Dateimanipulation und mehr | Security https://www.heise.de/news/Webmailer-Roundcube-Kritische-Luecken-erlauben-Dateimanipulation-und-mehr-11217824.html #Patchday #XSS #CrossSiteScripting
-
Vulnerability in REST API allows attackers to upload executable files.
Unrestricted file upload: all #Magento #OpenSource and #AdobeCommerce versions up to 2.4.9-alpha2
#XSS: all versions pre-2.3.5 or custom webserver config
#RCE via #PHP upload: #nginx 2.0.0–2.2.x (via index.php filename), any non-stock version nginx passing all .php to fastcgi, #Apache pre-2.3.5 without php_flag engine 0
Patched: 2.4.9-alpha3+ (pre-release only)
-
Webmailer Roundcube: Critical vulnerabilities allow file manipulation and more
Attackers could write arbitrary files to the web server, inject script code, and bypass content filters.
-
Webmailer Roundcube: Kritische Lücken erlauben Dateimanipulation und mehr
Angreifer hätten beliebige Dateien auf den Webserver schreiben, Skriptcode einschleusen und Inhaltsfilter umgehen können.
-
⚠️ CRITICAL XSS (CVE-2026-31938) in parallax jsPDF <4.2.1 allows attackers to inject scripts via PDF options — exploited when victims open crafted PDFs. Upgrade to 4.2.1+ ASAP! https://radar.offseq.com/threat/cve-2026-31938-cwe-79-improper-neutralization-of-i-32085433 #OffSeq #XSS #jsPDF #Infosec
-
Fantastic Demos of Web Hacking featuring bug bounty hunter Justin Gardner!
Learn about IDOR, XSS and more.
YouTube video: https://youtu.be/KBIQE9fo8mU
Big thanks to ThreatLocker for sponsoring my trip to ZTW26 and also for sponsoring this video.
-
Sequence [TryHackMe] [Writeup]
Room Info Name: Sequence Platform: TryHackMe Difficulty: Medium Link: https://tryhackme.com/room/sequence Description: Chain multiple vulnerabilities to take control of a system. Task 1: Challenge Robert made some last-minute updates to the review.thm website before heading off on vacation. He claims that the secret information of the financiers is fully protected. But are his defenses truly airtight? Your challenge is to exploit the vulnerabilities and gain complete control of the […]https://aredopseagle.wordpress.com/2026/03/15/sequence-tryhackme-writeup/
-
#Adobe-#Patchday: Schadcodeschmuggel in Reader, Illustrator und weiteren möglich | Security https://www.heise.de/news/Adobe-Patchday-Schadcodeschmuggel-in-Reader-Illustrator-und-weiteren-moeglich-11206633.html #CrossSiteScripting #XSS #MagentoOpenSource #AdobeCommerce
-
Krótka analiza przypadku sprzed kilku dni, kiedy to osoba zajmująca się bezpieczeństwem Wikipedii aktywowała robaka XSS
-
#Checkmk: Hochriskante Cross-Site-Scripting-Lücke in Netzwerk-Monitor-Software | Security https://www.heise.de/news/Checkmk-Hochriskante-Cross-Site-Scripting-Luecke-in-Netzwerk-Monitor-Software-11194483.html #XSS #CrossSiteScripting #Patchday
-
Checkmk: Highly risky cross-site scripting flaw in network monitoring software
The developers have released updated Checkmk versions. They close a at least highly risky cross-site scripting vulnerability.
-
Checkmk: Hochriskante Cross-Site-Scripting-Lücke in Netzwerk-Monitor-Software
Die Entwickler haben aktualisierte Checkmk-Versionen herausgegeben. Sie schließen eine mindestens hochriskante Cross-Site-Scripting-Lücke.
-
Automatisierungs-Tool #n8n: Angreifer können Schadcode einschleusen | Security https://www.heise.de/news/Automatisierungs-Tool-n8n-Updates-stopfen-Codeschmuggel-Lecks-11190464.html #malware #XSS #CrossSiteScripting #SQLinjection
-
Потрошим расширения VS Code: как XSS превращается в кражу ваших SSH-ключей
Многие привыкли считать, что VS Code — это просто текстовый редактор. Но «под капотом» у нас старый добрый Electron со всеми вытекающими. Если расширение имеет доступ к файловой системе, а вы открываете в нём кривой файл поздравляю, вы в зоне риска Я решил покопаться в безопаснности популярных расширений от самой Microsoft: SARIF Viewer и Live Preview . Спойлер: удалось найти обход защиты (CVE-2022-41042) и вытащить локальные файлы через... DNS-запросы.
https://habr.com/ru/articles/1003368/
#VS_Code #безопасность #уязвимость #XSS #Electron #эксплойт #Microsoft #Webview #кибербезопасность
-
#RoundcubeWebmail: Angriffe auf Sicherheitslücken laufen | Security https://www.heise.de/news/Roundcube-Webmail-Angriffe-auf-Sicherheitsluecken-laufen-11185535.html #Roundcube #Patchday #XSS #CrossSiteScripting
-
Goodbye #innerHTML, Hello #setHTML: Stronger #XSS Protection in #Firefox 148
#web #security
https://hacks.mozilla.org/2026/02/goodbye-innerhtml-hello-sethtml-stronger-xss-protection-in-firefox-148/ -
Good news, web people! A standardized XSS protection is coming: https://hacks.mozilla.org/2026/02/goodbye-innerhtml-hello-sethtml-stronger-xss-protection-in-firefox-148/
-
L'API Sanitizer arrive tout doucement dans Firefox, pour aider à se prémunir efficacement contre les attaques XSS.
-
Jak można było kraść pliki serwowane na localhost? Podatność XSS we wtyczce Live Preview (VSCode)
Badacze z OX Research odkryli podatność w rozszerzeniu Live Preview do Visual Studio Code. Pozwala ona złośliwym stronom internetowym ominąć zabezpieczenia i uzyskać dostęp do kodu źródłowego projektu, a także plików konfiguracyjnych (w folderze, w którym użytkownik uruchomił wtyczkę). Atakujący są w stanie zdalnie wykraść poświadczenia, klucze dostępu oraz inne...
-
Jak można było kraść pliki serwowane na localhost? Podatność XSS we wtyczce Live Preview (VSCode)
Badacze z OX Research odkryli podatność w rozszerzeniu Live Preview do Visual Studio Code. Pozwala ona złośliwym stronom internetowym ominąć zabezpieczenia i uzyskać dostęp do kodu źródłowego projektu, a także plików konfiguracyjnych (w folderze, w którym użytkownik uruchomił wtyczkę). Atakujący są w stanie zdalnie wykraść poświadczenia, klucze dostępu oraz inne...
-
Jak można było kraść pliki serwowane na localhost? Podatność XSS we wtyczce Live Preview (VSCode)
Badacze z OX Research odkryli podatność w rozszerzeniu Live Preview do Visual Studio Code. Pozwala ona złośliwym stronom internetowym ominąć zabezpieczenia i uzyskać dostęp do kodu źródłowego projektu, a także plików konfiguracyjnych (w folderze, w którym użytkownik uruchomił wtyczkę). Atakujący są w stanie zdalnie wykraść poświadczenia, klucze dostępu oraz inne...
-
Jak można było kraść pliki serwowane na localhost? Podatność XSS we wtyczce Live Preview (VSCode)
Badacze z OX Research odkryli podatność w rozszerzeniu Live Preview do Visual Studio Code. Pozwala ona złośliwym stronom internetowym ominąć zabezpieczenia i uzyskać dostęp do kodu źródłowego projektu, a także plików konfiguracyjnych (w folderze, w którym użytkownik uruchomił wtyczkę). Atakujący są w stanie zdalnie wykraść poświadczenia, klucze dostępu oraz inne...
