1. ⭐⭐⭐ Grosse PROMO en cours sur ma plateforme SEO My Ranking Metrics
    Rejeter la notice

Test faille javascript - Forbidden

Discussion dans 'Administration d'un site Web' créé par -Tony-, 3 Décembre 2015.

Tags:
  1. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Bonjour
    Dans les logs d'un site homemade html j'ai de temps en temps ce type de script de recherche de faille :

    Code:
    
"GET /js/&&!bs.test(a)&&(p.support.htmlSerialize||!bu.test(a))&&(p.support.leadingWhitespace||!bn.test(a))&&!bz[(bp.exec(a)||[ HTTP/1.1" 404 3685 "-" "Java/1.4.1_04"
 "GET /js/));bz.optgroup=bz.option,bz.tbody=bz.tfoot=bz.colgroup=bz.caption=bz.thead,bz.th=bz.td,p.support.htmlSerialize||(bz._default=[1, HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html();s&&a._updatePrompt(t,e(s),n,void 0,!1,o,i)}),this},showPrompt:function(e,t,r,i){var o=this.closest( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html(r).appendTo(n),t.data( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,a):this:p.isFunction(a)?this.each(function(b){var c=p(this),d=c.html();c.replaceWith(a.call(this,b,d))}):(typeof a!= HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,data:c,complete:function(a,b){d&&h.each(d,g||[a.responseText,b,a])}}).done(function(a){g=arguments,h.html(e?p( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/:d.html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/?(b.parentNode&&(b.outerHTML=a.outerHTML),p.support.html5Clone&&a.innerHTML&&!p.trim(b.innerHTML)&&(b.innerHTML=a.innerHTML)):c=== HTTP/1.1" 200 581 "-" "Java/1.4.1_04"
    La dernière ligne réponds en 200, j'aime pas ca, je ne sais pas si ca craint car le language javascript et moi ca fait deux je n'arrive pas à déchiffrer le code, mais j'aimerai bien lui balancer un 403.

    Faille XSS je suis normalement assez bien protégé (script, javascript, document, location, href, etc...))
    Je pensais faire ca :

    Code:
    
RewriteCond %{QUERY_STRING} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

#et également

RewriteCond %{REQUEST_URI} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]
    Bonne idée ?
     
    #1 -Tony-, 3 Décembre 2015
  2. julienr
    julienr WRInaute impliqué
    Inscrit:
    5 Août 2003
    Messages:
    941
    J'aime reçus:
    0
    juste un petit

    Code:
    <Directory /usr/local/apache2/htdocs/dontlistme>
  Options -Indexes
</Directory>
    sur ton répertoire js devrait suffire
     
    #2 julienr, 14 Décembre 2015
  3. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 903
    J'aime reçus:
    14
    @julienr : je vais peut être dire une ânerie mais un simple Options -Indexes devrait suffire non ?
    Autant bloquer le listage de tous les répertoires non ?
     
    #3 noren, 15 Décembre 2015
  4. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Bonjour
    Merci pour vos réponses.

    J'ai un fichier index.html vide dans chaque répertoire

    et

    Code:
    
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
    Techniquement le répertoire ne peut être listé non ? Puisque "Indexes" autorise le listage seulement si index.html absent ?
     
    #4 -Tony-, 15 Décembre 2015
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 875
    J'aime reçus:
    263
    Comme on te l'a suggéré, avec Options -Indexes tu n'avais pas besoin de mettre de index.html dans chaque répertoire.
    NB: attention avec l'option MultiViews que tu n'as p-e pas besoin sauf si t'es certain de ce que tu fais.
     
    #5 spout, 15 Décembre 2015
  6. -Tony-
    -Tony- Nouveau WRInaute
    Inscrit:
    27 Octobre 2015
    Messages:
    42
    J'aime reçus:
    0
    Ok ca marche, merci à tous.
     
    #6 -Tony-, 15 Décembre 2015
(Vous devez vous identifier ou vous inscrire pour poster ici.)
Chargement...
Similar Threads - Test faille javascript Forum Date
Tests d'injection sql et tous types de failles Développement d'un site Web ou d'une appli mobile 17 Avril 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015
Nouvel Edge dispo, un browser de moins à tester ! Développement d'un site Web ou d'une appli mobile Jeudi à 05:48
Cobaye pour tester vitesse site Problèmes de référencement spécifiques à vos sites 10 Janvier 2020
Search Console Prestashop | Robot.txt bloque des URL mais Outil de test du fichier robots.txt l'Authorise... Crawl et indexation Google, sitemaps 21 Novembre 2019
Vos retour sur Adfly et Shortest ? Monétisation d'un site web 20 Novembre 2019
Testeur Neilpatel : nb de visites TRES différent de Google Analytics Référencement Google 18 Novembre 2019
Tester les pubs ADS - Ou trouver des coupons ? e-commerce 12 Novembre 2019
Test d'optimisation mobile : Problèmes de chargement de la page Débuter en référencement 10 Novembre 2019
Page de test et fichier Robots.txt Crawl et indexation Google, sitemaps 9 Octobre 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Accepter En savoir plus.
    Rejeter la notice