Test faille javascript - Forbidden

[-Tony-]

Bonjour
Dans les logs d'un site homemade html j'ai de temps en temps ce type de script de recherche de faille :

"GET /js/&&!bs.test(a)&&(p.support.htmlSerialize||!bu.test(a))&&(p.support.leadingWhitespace||!bn.test(a))&&!bz[(bp.exec(a)||[ HTTP/1.1" 404 3685 "-" "Java/1.4.1_04"
 "GET /js/));bz.optgroup=bz.option,bz.tbody=bz.tfoot=bz.colgroup=bz.caption=bz.thead,bz.th=bz.td,p.support.htmlSerialize||(bz._default=[1, HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html();s&&a._updatePrompt(t,e(s),n,void 0,!1,o,i)}),this},showPrompt:function(e,t,r,i){var o=this.closest( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/).html(r).appendTo(n),t.data( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,a):this:p.isFunction(a)?this.each(function(b){var c=p(this),d=c.html();c.replaceWith(a.call(this,b,d))}):(typeof a!= HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/,data:c,complete:function(a,b){d&&h.each(d,g||[a.responseText,b,a])}}).done(function(a){g=arguments,h.html(e?p( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/:d.html( HTTP/1.1" 404 3686 "-" "Java/1.4.1_04"
"GET /js/?(b.parentNode&&(b.outerHTML=a.outerHTML),p.support.html5Clone&&a.innerHTML&&!p.trim(b.innerHTML)&&(b.innerHTML=a.innerHTML)):c=== HTTP/1.1" 200 581 "-" "Java/1.4.1_04"

La dernière ligne réponds en 200, j'aime pas ca, je ne sais pas si ca craint car le language javascript et moi ca fait deux je n'arrive pas à déchiffrer le code, mais j'aimerai bien lui balancer un 403.

Faille XSS je suis normalement assez bien protégé (script, javascript, document, location, href, etc...))
Je pensais faire ca :

RewriteCond %{QUERY_STRING} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

#et également

RewriteCond %{REQUEST_URI} ^((.*)parentNode(.*)|(.*)innerHTML(.*)|(.*)this(.*)|(.*)function(.*)|(.*)htmlSerialize(.*))$
RewriteRule ^(.*)$ - [F]

Bonne idée ?

 

[julienr]

juste un petit

<Directory /usr/local/apache2/htdocs/dontlistme>
  Options -Indexes
</Directory>

sur ton répertoire js devrait suffire

 

[noren]

@julienr : je vais peut être dire une ânerie mais un simple Options -Indexes devrait suffire non ?
Autant bloquer le listage de tous les répertoires non ?

 

[-Tony-]

Bonjour
Merci pour vos réponses.

J'ai un fichier index.html vide dans chaque répertoire

et

Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

Techniquement le répertoire ne peut être listé non ? Puisque "Indexes" autorise le listage seulement si index.html absent ?

 

[spout]

Comme on te l'a suggéré, avec Options -Indexes tu n'avais pas besoin de mettre de index.html dans chaque répertoire.
NB: attention avec l'option MultiViews que tu n'as p-e pas besoin sauf si t'es certain de ce que tu fais.

 

[-Tony-]

Ok ca marche, merci à tous.