Test faille javascript - Forbidden

-Tony- · 3 Décembre 2015

Bonjour
Dans les logs d'un site homemade html j'ai de temps en temps ce type de script de recherche de faille :

Code:


"GET /js/&&!bs.test(a)&&(p.support.htmlSerialize||!bu.test(a))&&(p.support.leadingWhitespace||!bn.test(a))&&!bz[(bp.exec(a)||[ HTTP/1.1" 404 3685 "-" "Java/1.4.1_04"
 "GET /js/));bz.optgroup=bz.option,bz.tbody=bz.tfoot=bz.colgroup=bz.caption=bz.thead,bz.th=bz.td,p.support.htmlSerialize||(bz._default=[1, HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html();s&&a._updatePrompt(t,e(s),n,void 0,!1,o,i)}),this},showPrompt:function(e,t,r,i){var o=this.closest( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html(r).appendTo(n),t.data( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,a):this:p.isFunction(a)?this.each(function(b){var c=p(this),d=c.html();c.replaceWith(a.call(this,b,d))}):(typeof a!= HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,data:c,complete:function(a,b){d&&h.each(d,g||[a.responseText,b,a])}}).done(function(a){g=arguments,h.html(e?p( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/:d.html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/?(b.parentNode&&(b.outerHTML=a.outerHTML),p.support.html5Clone&&a.innerHTML&&!p.trim(b.innerHTML)&&(b.innerHTML=a.innerHTML)):c=== HTTP/1.1" 200 581 "-" "Java/1.4.1_04"

La dernière ligne réponds en 200, j'aime pas ca, je ne sais pas si ca craint car le language javascript et moi ca fait deux je n'arrive pas à déchiffrer le code, mais j'aimerai bien lui balancer un 403.

Faille XSS je suis normalement assez bien protégé (script, javascript, document, location, href, etc...))
Je pensais faire ca :

Code:


RewriteCond %{QUERY_STRING} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

#et également

RewriteCond %{REQUEST_URI} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

Bonne idée ?

julienr · 14 Décembre 2015

juste un petit
Code:
<Directory /usr/local/apache2/htdocs/dontlistme>
  Options -Indexes
</Directory>
sur ton répertoire js devrait suffire

noren · 15 Décembre 2015

@julienr : je vais peut être dire une ânerie mais un simple Options -Indexes devrait suffire non ?
Autant bloquer le listage de tous les répertoires non ?

-Tony- · 15 Décembre 2015

Bonjour
Merci pour vos réponses.

J'ai un fichier index.html vide dans chaque répertoire

et
Code:
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
Techniquement le répertoire ne peut être listé non ? Puisque "Indexes" autorise le listage seulement si index.html absent ?

spout · 15 Décembre 2015

Comme on te l'a suggéré, avec Options -Indexes tu n'avais pas besoin de mettre de index.html dans chaque répertoire.
NB: attention avec l'option MultiViews que tu n'as p-e pas besoin sauf si t'es certain de ce que tu fais.

-Tony- · 15 Décembre 2015

Ok ca marche, merci à tous.

Similar Threads - Test faille javascript	Forum	Date
Tests d'injection sql et tous types de failles	Développement d'un site Web ou d'une appli mobile	17 Avril 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site?	Développement d'un site Web ou d'une appli mobile	20 Janvier 2015
WordPress GT Metrix : comment tester sa vitesse au mieux ?	Débuter en référencement	27 Juillet 2021
Test de mon nouveau site en laissant l'ancien en ligne	Administration d'un site Web	28 Avril 2021
Test SEO : balises vides qu'il faut enlever	Demandes d'avis et de conseils sur vos sites	24 Mars 2021
Search Console "Page non éligible aux résultats enrichis connus par ce test"	Problèmes de référencement spécifiques à vos sites	4 Janvier 2021
Outils : test des données structurées et des rich snippets	Référencement Google	16 Décembre 2020
Brave, avis et test de la dernière version du navigateur	Le café de WebRankInfo	3 Juillet 2020
tests de dosage d'annonces AdSense	AdSense	20 Juin 2020
Annonce responsive test 1/B	Débuter en référencement	3 Juin 2020