Test faille javascript - Forbidden

Discussion dans 'Administration d'un site Web' créé par -Tony-, 3 Décembre 2015.

Tags:
  1. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Bonjour
    Dans les logs d'un site homemade html j'ai de temps en temps ce type de script de recherche de faille :

    Code:
    
"GET /js/&&!bs.test(a)&&(p.support.htmlSerialize||!bu.test(a))&&(p.support.leadingWhitespace||!bn.test(a))&&!bz[(bp.exec(a)||[ HTTP/1.1" 404 3685 "-" "Java/1.4.1_04"
 "GET /js/));bz.optgroup=bz.option,bz.tbody=bz.tfoot=bz.colgroup=bz.caption=bz.thead,bz.th=bz.td,p.support.htmlSerialize||(bz._default=[1, HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html();s&&a._updatePrompt(t,e(s),n,void 0,!1,o,i)}),this},showPrompt:function(e,t,r,i){var o=this.closest( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html(r).appendTo(n),t.data( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,a):this:p.isFunction(a)?this.each(function(b){var c=p(this),d=c.html();c.replaceWith(a.call(this,b,d))}):(typeof a!= HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,data:c,complete:function(a,b){d&&h.each(d,g||[a.responseText,b,a])}}).done(function(a){g=arguments,h.html(e?p( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/:d.html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/?(b.parentNode&&(b.outerHTML=a.outerHTML),p.support.html5Clone&&a.innerHTML&&!p.trim(b.innerHTML)&&(b.innerHTML=a.innerHTML)):c=== HTTP/1.1" 200 581 "-" "Java/1.4.1_04"
    La dernière ligne réponds en 200, j'aime pas ca, je ne sais pas si ca craint car le language javascript et moi ca fait deux je n'arrive pas à déchiffrer le code, mais j'aimerai bien lui balancer un 403.

    Faille XSS je suis normalement assez bien protégé (script, javascript, document, location, href, etc...))
    Je pensais faire ca :

    Code:
    
RewriteCond %{QUERY_STRING} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

#et également

RewriteCond %{REQUEST_URI} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]
    Bonne idée ?
     
    #1 -Tony-, 3 Décembre 2015
  2. julienr
    julienr WRInaute impliqué
    Inscrit:
    5 Août 2003
    Messages:
    941
    J'aime reçus:
    0
    juste un petit

    Code:
    <Directory /usr/local/apache2/htdocs/dontlistme>
  Options -Indexes
</Directory>
    sur ton répertoire js devrait suffire
     
    #2 julienr, 14 Décembre 2015
  3. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    @julienr : je vais peut être dire une ânerie mais un simple Options -Indexes devrait suffire non ?
    Autant bloquer le listage de tous les répertoires non ?
     
    #3 noren, 15 Décembre 2015
  4. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Bonjour
    Merci pour vos réponses.

    J'ai un fichier index.html vide dans chaque répertoire

    et

    Code:
    
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
    Techniquement le répertoire ne peut être listé non ? Puisque "Indexes" autorise le listage seulement si index.html absent ?
     
    #4 -Tony-, 15 Décembre 2015
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 078
    J'aime reçus:
    295
    Comme on te l'a suggéré, avec Options -Indexes tu n'avais pas besoin de mettre de index.html dans chaque répertoire.
    NB: attention avec l'option MultiViews que tu n'as p-e pas besoin sauf si t'es certain de ce que tu fais.
     
    #5 spout, 15 Décembre 2015
  6. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Ok ca marche, merci à tous.
     
    #6 -Tony-, 15 Décembre 2015
(Vous devez vous identifier ou vous inscrire pour poster ici.)
Chargement...
Similar Threads - Test faille javascript Forum Date
Tests d'injection sql et tous types de failles Développement d'un site Web ou d'une appli mobile 17 Avril 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015
Brave, avis et test de la dernière version du navigateur Le café de WebRankInfo 3 Juillet 2020
tests de dosage d'annonces AdSense AdSense 20 Juin 2020
Annonce responsive test 1/B Débuter en référencement 3 Juin 2020
Test : domaine racheté et backlinks morts 10 ans Netlinking, backlinks, liens et redirections 18 Mai 2020
En test : affichage des informations de licence dans Google Images YouTube, Google Images et Google Maps 28 Février 2020
Nouvel Edge dispo, un browser de moins à tester ! Développement d'un site Web ou d'une appli mobile 16 Janvier 2020
Cobaye pour tester vitesse site Problèmes de référencement spécifiques à vos sites 10 Janvier 2020
Search Console Prestashop | Robot.txt bloque des URL mais Outil de test du fichier robots.txt l'Authorise... Crawl et indexation Google, sitemaps 21 Novembre 2019