|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
rog
WRInaute accro
Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
|
 Posté le : Mar Oct 10, 2006 3:47 Sujet du message: webmaster et XSS |
|
|
bon, c'est peut être encore un sujet qui n'interesse personne
mais combien de membres connaissent le XSS et savent si leurs pages sont vulnérables ?
rog |
|
| |
|
 |
coug
Nouveau WRInaute
Inscrit le: 18 Sep 2006
Messages: 39
Localisation: Aude
|
| Posté le : Mar Oct 10, 2006 8:32 Sujet du message: webmaster et XSS |
|
|
Je connais, et comme je teste tout ce qui passe en variable apres un formulaire je ne dois pas avoir de faille.
Je fais attention, quoi. |
|
| |
|
|
dd32
Modérateur
Inscrit le: 09 Sep 2005
Messages: 3073
Localisation: Witamine d'abord !
|
| Posté le : Mar Oct 10, 2006 9:24 Sujet du message: webmaster et XSS |
|
|
Je ne connais pas les chiffres, mais j'ai trouvé ceci :
| Citation: |
XSS is 95% percent avoidable with proper filtering techniques on any user supplied data
(....)
there is nothing called a sure thing (tm). In the end its always better to know your process capabilities and accept the reality of the unforeseeable. |
la suite ici
Si je m'appuie là-dessus, je dirais que tu veux plutôt dire combien de webmasters connaissent les failles critiques et connues sur leur application/site web ? |
|
| |
|
|
thierry8
WRInaute accro
Inscrit le: 11 Juil 2005
Messages: 3252
|
| Posté le : Mar Oct 10, 2006 9:39 Sujet du message: webmaster et XSS |
|
|
comment tester son site ?
comment le soumettre à des attaques "tests" ? |
|
| |
|
|
Dmx
WRInaute impliqué
Inscrit le: 07 Avr 2004
Messages: 256
Localisation: Nantes
|
| Posté le : Mar Oct 10, 2006 9:47 Sujet du message: webmaster et XSS |
|
|
Suffit de faire attention et de vérifier les entrées dans sont site.
Perso je fais passer que des nombres et je fais a chaque fois :
| Code: |
if(isset($_GET['mavar']) && is_numeric($_GET['mavar']))
{
} |
Ca c'est pour le GET, pour le POST c'est pareille il faut tout protéger ! J'ai déjà vu des choses allucinantes ! On pouvais détruire toute la base de donnée ... |
|
| |
|
|
dd32
Modérateur
Inscrit le: 09 Sep 2005
Messages: 3073
Localisation: Witamine d'abord !
|
|
| |
|
|
rog
WRInaute accro
Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
|
| Posté le : Mar Oct 10, 2006 10:41 Sujet du message: webmaster et XSS |
|
|
en fait avant de vouloir lutter contre une faille xss faut connaitre ses mecanismes
1) la faille est du coté client (navigateur)
2) le mecanisme passe par un affichage de données dans la page par le navigateur
------------------------
on a donc au moins deux possibliltés :
------------------------
1) des données malicieuses venant du serveur permettant d'executer un js lors de l'affichage de la page
style :
je saisie la description de mon site dans un annuaire sauf qu'à la place je mets mon code javascript
==> si la page est vulnérable à XSS, l'internaute qui visualise la page aura l'honneur d'être victime d'une injection javascript
2) un code javascript reprend un parametre passé par $_GET pour l'afficher sur la page
style
page.: php?user=rog
si je reprend user en js pour afficher "bonjour rog" dans la page, si la page est vulnérable à XSS, et que l'internaute clique sur un lien
page.php?ssid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&gift=xxxxxxxxxxxxxxxxxxxxxxx&user=script_a_injecter
l'internaute qui n'a pas une barre d'adresse extensible aura l'honneur d'etre victime d'une injection javascript
si ça vous plait je continuerai l'article
rog |
|
| |
|
|
Albert1
WRInaute passionné
Inscrit le: 23 Aoû 2005
Messages: 935
Localisation: Partout & Nulle part
|
| Posté le : Mar Oct 10, 2006 10:52 Sujet du message: RAF |
|
|
| rog a écrit: |
| 1) la faille est du coté client (navigateur) |
bon bé alors ... |
|
| |
|
|
coug
Nouveau WRInaute
Inscrit le: 18 Sep 2006
Messages: 39
Localisation: Aude
|
| Posté le : Mar Oct 10, 2006 12:01 Sujet du message: Re: RAF |
|
|
| Albert1 a écrit: |
bon bé alors ... |
Alors, si tu as un site avec ce genre de faille tes internautes ne sont pas pret de revenir, vu ce que l'on peut faire avec.
http://fr.wikipedia.org/wiki/XSS |
|
| |
|
|
Grantome
WRInaute accro
Inscrit le: 16 Jan 2004
Messages: 2900
|
| Posté le : Mar Oct 10, 2006 12:40 Sujet du message: webmaster et XSS |
|
|
| coug a écrit: |
Je connais, et comme je teste tout ce qui passe en variable apres un formulaire je ne dois pas avoir de faille.
Je fais attention, quoi. |
Bah rog va tester tout ça  |
|
| |
|
|
rog
WRInaute accro
Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
|
| Posté le : Mar Oct 10, 2006 12:57 Sujet du message: webmaster et XSS |
|
|
allez un exemple trop tordu
un site :
-http://rgirardin.mine.nu/binder1.13/
les stats :
-http://rgirardin.mine.nu/binder1.13/visit.php
on a testé si le site était vulnerable à XSS et comme je log les pages vues, j'ai eu 3 js alert quand j'ai consulté mes stats car je n'avais pas filtré les variables affichées
pas grave
1) les codes injectés n'étaient pas malicieux
2) je n'utilise pas les cookies dans ce site
rog |
|
| |
|
|
| |
|
|
