Test faille javascript - Forbidden

Discussion dans 'Administration d'un site Web' créé par -Tony-, 3 Décembre 2015.

Tags:
  1. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Bonjour
    Dans les logs d'un site homemade html j'ai de temps en temps ce type de script de recherche de faille :

    Code:
    
"GET /js/&&!bs.test(a)&&(p.support.htmlSerialize||!bu.test(a))&&(p.support.leadingWhitespace||!bn.test(a))&&!bz[(bp.exec(a)||[ HTTP/1.1" 404 3685 "-" "Java/1.4.1_04"
 "GET /js/));bz.optgroup=bz.option,bz.tbody=bz.tfoot=bz.colgroup=bz.caption=bz.thead,bz.th=bz.td,p.support.htmlSerialize||(bz._default=[1, HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html();s&&a._updatePrompt(t,e(s),n,void 0,!1,o,i)}),this},showPrompt:function(e,t,r,i){var o=this.closest( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html(r).appendTo(n),t.data( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,a):this:p.isFunction(a)?this.each(function(b){var c=p(this),d=c.html();c.replaceWith(a.call(this,b,d))}):(typeof a!= HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,data:c,complete:function(a,b){d&&h.each(d,g||[a.responseText,b,a])}}).done(function(a){g=arguments,h.html(e?p( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/:d.html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/?(b.parentNode&&(b.outerHTML=a.outerHTML),p.support.html5Clone&&a.innerHTML&&!p.trim(b.innerHTML)&&(b.innerHTML=a.innerHTML)):c=== HTTP/1.1" 200 581 "-" "Java/1.4.1_04"
    La dernière ligne réponds en 200, j'aime pas ca, je ne sais pas si ca craint car le language javascript et moi ca fait deux je n'arrive pas à déchiffrer le code, mais j'aimerai bien lui balancer un 403.

    Faille XSS je suis normalement assez bien protégé (script, javascript, document, location, href, etc...))
    Je pensais faire ca :

    Code:
    
RewriteCond %{QUERY_STRING} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

#et également

RewriteCond %{REQUEST_URI} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]
    Bonne idée ?
     
    #1 -Tony-, 3 Décembre 2015
  2. julienr
    julienr WRInaute impliqué
    Inscrit:
    5 Août 2003
    Messages:
    941
    J'aime reçus:
    0
    juste un petit

    Code:
    <Directory /usr/local/apache2/htdocs/dontlistme>
  Options -Indexes
</Directory>
    sur ton répertoire js devrait suffire
     
    #2 julienr, 14 Décembre 2015
  3. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 911
    J'aime reçus:
    15
    @julienr : je vais peut être dire une ânerie mais un simple Options -Indexes devrait suffire non ?
    Autant bloquer le listage de tous les répertoires non ?
     
    #3 noren, 15 Décembre 2015
  4. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Bonjour
    Merci pour vos réponses.

    J'ai un fichier index.html vide dans chaque répertoire

    et

    Code:
    
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
    Techniquement le répertoire ne peut être listé non ? Puisque "Indexes" autorise le listage seulement si index.html absent ?
     
    #4 -Tony-, 15 Décembre 2015
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 128
    J'aime reçus:
    318
    Comme on te l'a suggéré, avec Options -Indexes tu n'avais pas besoin de mettre de index.html dans chaque répertoire.
    NB: attention avec l'option MultiViews que tu n'as p-e pas besoin sauf si t'es certain de ce que tu fais.
     
    #5 spout, 15 Décembre 2015
  6. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Ok ca marche, merci à tous.
     
    #6 -Tony-, 15 Décembre 2015
(Vous devez vous identifier ou vous inscrire pour poster ici.)
Chargement...
Similar Threads - Test faille javascript Forum Date
Tests d'injection sql et tous types de failles Développement d'un site Web ou d'une appli mobile 17 Avril 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015
Test SEO : balises vides qu'il faut enlever Demandes d'avis et de conseils sur vos sites 24 Mars 2021
Search Console "Page non éligible aux résultats enrichis connus par ce test" Problèmes de référencement spécifiques à vos sites 4 Janvier 2021
Outils : test des données structurées et des rich snippets Référencement Google 16 Décembre 2020
Brave, avis et test de la dernière version du navigateur Le café de WebRankInfo 3 Juillet 2020
tests de dosage d'annonces AdSense AdSense 20 Juin 2020
Annonce responsive test 1/B Débuter en référencement 3 Juin 2020
Test : domaine racheté et backlinks morts 10 ans Netlinking, backlinks, liens et redirections 18 Mai 2020
En test : affichage des informations de licence dans Google Images YouTube, Google Images et Google Maps 28 Février 2020