1. ⭐⭐⭐ Grosse PROMO en cours sur ma plateforme SEO My Ranking Metrics
    Rejeter la notice

Execution de code HTML brute

Discussion dans 'Administration d'un site Web' créé par user2home, 13 Juin 2011.

  1. user2home
    user2home WRInaute occasionnel
    Inscrit:
    19 Décembre 2007
    Messages:
    255
    J'aime reçus:
    0
    Bonsoir à tous, j'ai sur un de mes sites des bouton input type "text". J'ai tout à l'heure "testé" la securite de mon code :mrgreen:

    Et je me suis aperçu que le html était interprété directement apres le rechargement de ma page. Je m'explique

    Je saisis dans mon input identifiant : <h1>test</h1>

    Et lorsque je valide moln formulaire et que la page est rechargé j'ai un beau test qui s'affiche directement...

    Je ne pense pas que cela soit important, le html est rapidement limité, y'a il un risque ? et cela est il exploitable à des fins plus dangereuse pour un site ?

    Merci par avance :wink:
     
  2. franckM
    franckM WRInaute impliqué
    Inscrit:
    15 Novembre 2007
    Messages:
    808
    J'aime reçus:
    0
    Pourquoi le HTML ne serait pas interprété ???
     
  3. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    beaucoup de questions mais pas assez de précisions.

    Si tes valeurs passent en Get, ça peut être une bonne source pour hameçonner tes visiteurs en usurpant ton nom de domaine (puisque tu peut recomposer la page entière en te servant d'une url a toi)

    Si c'est en Post, c'est celons. mais c'est surtout révélateur d'un manque total de traitement des données utilisateurs et là ça craint.
     
  4. user2home
    user2home WRInaute occasionnel
    Inscrit:
    19 Décembre 2007
    Messages:
    255
    J'aime reçus:
    0
    Il est interprété, c'est justement la qu'interviennent les htmlentities, htmlspecialchars si je ne m'abuse


    '><h1>test</h1> devient &#039;&gt;&lt;h1&gt;test&lt;/h1&gt; quand c'est correctement fait :wink:


    Ma question est toujours de savoir si ca peut poser des graves soucis :wink:
     
  5. Marie-Aude
    Marie-Aude WRInaute accro
    Inscrit:
    5 Juin 2006
    Messages:
    16 371
    J'aime reçus:
    2
    ça dépend si ça laisse passer les balises href et les inclusions de javascript
     
  6. user2home
    user2home WRInaute occasionnel
    Inscrit:
    19 Décembre 2007
    Messages:
    255
    J'aime reçus:
    0
    Tu peux développer ? je ne sais pas si j'ai bien compris, pour !les $_GET et $_POST ca importe peut les names sont dans la source :?:
     
  7. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    si le retour affiché sur le site peut se faire avec une url du type www.example.com/page.php?param=Quelquechose cela permet d'utiliser le domaine www.example.com pour afficher ce qu'on veut.

    Puisque comme le souligne en complément Marie Aude, on peut très bien afficher un iframe ou injecter du javascript etc ...
     
  8. forty
    forty WRInaute passionné
    Inscrit:
    30 Octobre 2008
    Messages:
    1 929
    J'aime reçus:
    0
    Si c'est affiche qu'au visiteur pas de problème. Si ça permet d'ajouter du contenu sur ton site c'est dangereux.
     
  9. user2home
    user2home WRInaute occasionnel
    Inscrit:
    19 Décembre 2007
    Messages:
    255
    J'aime reçus:
    0
    Je vais essayer d'être plus précis, en admettant que un input text permette d'executer un alert("alert") javascript, j'ai fais quelques recherche. Les divers articles décrivent ca comme une faille dite XSS, mais en finalitée ormi faire apparaitre une jolie fenêtre au rechargement cela peut il être vraiment préjudiciable ?

    Utiliser des document."iddiv" display none par exemple ou je ne sais quoi d'autres, document.write ?


    Au rechargement on aperçoit les changements mais le visiteur lanbda ne les vois pas s'afficher au rechargement :roll:

    Merci par avance :wink:
     
  10. DeLoVaN
    DeLoVaN Nouveau WRInaute
    Inscrit:
    8 Juin 2011
    Messages:
    37
    J'aime reçus:
    0
    Tout ça est enregistré en bdd ? Attention aux injections SQL également.
    Si le code entré est limité au seul utilisateur qui va voir la page, effectivement, l'impact est limité. Mais il faut quand même éviter ça. Javascript est bourré de failles et permet l’exécution de toute une tripotée de saloperies sur ton poste, virus, trojan, zombie, etc...
     
  11. Blount
    Blount WRInaute impliqué
    Inscrit:
    18 Novembre 2010
    Messages:
    707
    J'aime reçus:
    0
    Oui, enfin bon, les failles, c'était surtout Active X. Le JavaScript en lui même n'a pas de raison d'avoir de faille. C'est ce que le navigateur lui permet de faire qui peut être dangereux.

    Pour revenir au sujet, la vrai question est : quel est le but de ton champ texte ?

    Si c'est afficher une information sur ton site, tout en laissant la possibilité à l'utilisateur de styler son texte, alors passe par un moyen sur. Par exemple, le BBCode ou encore HtmlPurifier.

    Si l'utilisateur n'est pas autorisé à utiliser des balises HTML, alors il n'y aucune question à se poser, tu échappes les caractères spéciaux (htmlspecialchars() devrait suffire) partout où tu affiches l'information et même dans les attributs (important!).
     
  12. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    Oui pas dangereux enfin tout dépend du contexte ... imagine 5 seconde une frame invisible en superposition de ta page qui collecte un login par exemple...

    J'ai constaté deux fois ce genre de souci.
    * le premier permettait (certes avec un coup de chance) de récupérer les login d'un usager depuis son poste utilisateur (il fallait bidouiller la page in situ) -> le formulaire de connections renvoyait le contenu du pseudo non nettoyé en cas d'échec.
    * Dans le second cas le param affiché passait via une url ce qui permettait d'envisager du fishing de grande envergure via une campagne de spam avec un lien pourri contenant le code offensif (qui pointait bien sur le domaine légitime)

    Sans une vision de la page ou du site qui pose souci il est difficile de dire si oui ou non tu est en sécurité.

    Mais pour aller plus loin les failles XSS sont intolérables car même si elle ne présentent pas un danger pour le site, elle sont révélatrices d'un code faible, et poussera peut être un fouineur a chercher plus loin.
     
  13. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
  14. user2home
    user2home WRInaute occasionnel
    Inscrit:
    19 Décembre 2007
    Messages:
    255
    J'aime reçus:
    0
    C'est justement pour ca que j'essai de comprendre le sujet, je fais des test en local sur le site que je développe, je trouve les symptômes de divers grosses faille mais sans réussir à les exploiter, donc soit je suis très mauvais soit la code commence à donner quelque chose de correct.

    Lorsque l'on fait un <object data="https://www.google.fr"> dans une page via un bouton input text et que la page inclut bien l'object mais avec l'index du site cela est dut à quoi, car c'est ce qui ce produit sur mon index mais je ne trouve pas à quoi cela est du.... :)
     
  15. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 808
    J'aime reçus:
    242
    Ton input qui fonctionnait avec le <h1>, pr imaginer tout ce qu'on pourrait faire, tu y mets par l'exemple:
    PHP:
    <span class="syntaxhtml"><span class="syntaxdefault"><br /></span><span class="syntaxkeyword"><</span><span class="syntaxdefault">script</span><span class="syntaxkeyword">></span><span class="syntaxdefault">alert</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'0wn3d'</span><span class="syntaxkeyword">);</span><span class="syntaxdefault"></script><br /></span></span>
    J'ai déjà eu un script de livre d'or piraté car j'avais oublié le strip_tags(), on m'avait injecté une redirection en JS.
     
  16. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    Ah ! c'était toi ... :lol: :arrow:
     
Chargement...
Similar Threads - Execution code brute Forum Date
Comment stopper l'exécution de script ajax Développement d'un site Web ou d'une appli mobile 21 Avril 2019
Exécution requête sur bouton sur une ligne tableau Administration d'un site Web 5 Juillet 2017
Stopper execution $.ajax() après un clic Développement d'un site Web ou d'une appli mobile 5 Mars 2017
exécution programme binaire sur des systèmes d'exploitation Débuter en référencement 5 Novembre 2014
"max execution time" et hébergement mutualisé Administration d'un site Web 19 Février 2014
MySQL différence d'exécution Développement d'un site Web ou d'une appli mobile 15 Janvier 2013
Optimiser l'éxécution du JS Développement d'un site Web ou d'une appli mobile 21 Août 2012
Demande de conseils sur execution Java Script Demandes d'avis et de conseils sur vos sites 13 Avril 2012
Temps d'éxécution requête mysql vraiment contre intuitif Développement d'un site Web ou d'une appli mobile 9 Novembre 2011
Ftp_nlist et temps d'exécution Administration d'un site Web 29 Mai 2011
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice