webmaster et XSS

[rog]

bon, c'est peut être encore un sujet qui n'interesse personne

mais combien de membres connaissent le XSS et savent si leurs pages sont vulnérables ?

rog

[coug]

Je connais, et comme je teste tout ce qui passe en variable apres un formulaire je ne dois pas avoir de faille.
Je fais attention, quoi.

[dd32]

Je ne connais pas les chiffres, mais j'ai trouvé ceci :

XSS is 95% percent avoidable with proper filtering techniques on any user supplied data
(....)
there is nothing called a sure thing (tm). In the end its always better to know your process capabilities and accept the reality of the unforeseeable.

la suite ici

Si je m'appuie là-dessus, je dirais que tu veux plutôt dire combien de webmasters connaissent les failles critiques et connues sur leur application/site web ?

[thierry8]

comment tester son site ?
comment le soumettre à des attaques "tests" ?

[Dmx]

Suffit de faire attention et de vérifier les entrées dans sont site.

Perso je fais passer que des nombres et je fais a chaque fois :

Code: Tout sélectionner

if(isset($_GET['mavar']) && is_numeric($_GET['mavar']))
{

}

Ca c'est pour le GET, pour le POST c'est pareille il faut tout protéger ! J'ai déjà vu des choses allucinantes ! On pouvais détruire toute la base de donnée ...

[dd32]

Quelques bookmarks XSS :

Failles XSS : Principes, Catégories Failles XSS (PDF)

http://www.cgisecurity.com/articles/xss-faq.shtml

http://www.owasp.org/index.php/Category ... en_Project (avec un pdf disponible très bien fait)

[rog]

en fait avant de vouloir lutter contre une faille xss faut connaitre ses mecanismes

1) la faille est du coté client (navigateur)
2) le mecanisme passe par un affichage de données dans la page par le navigateur
------------------------
on a donc au moins deux possibliltés :
------------------------
1) des données malicieuses venant du serveur permettant d'executer un js lors de l'affichage de la page
style :
je saisie la description de mon site dans un annuaire sauf qu'à la place je mets mon code javascript
==> si la page est vulnérable à XSS, l'internaute qui visualise la page aura l'honneur d'être victime d'une injection javascript

2) un code javascript reprend un parametre passé par $_GET pour l'afficher sur la page

style
page.: php?user=rog

si je reprend user en js pour afficher "bonjour rog" dans la page, si la page est vulnérable à XSS, et que l'internaute clique sur un lien
page.php?ssid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&gift=xxxxxxxxxxxxxxxxxxxxxxx&user=script_a_injecter
l'internaute qui n'a pas une barre d'adresse extensible aura l'honneur d'etre victime d'une injection javascript

si ça vous plait je continuerai l'article

rog

[Albert1]

1) la faille est du coté client (navigateur)

bon bé alors ...

[coug]

bon bé alors ...

Alors, si tu as un site avec ce genre de faille tes internautes ne sont pas pret de revenir, vu ce que l'on peut faire avec.

http://fr.wikipedia.org/wiki/XSS

[Grantome]

Je connais, et comme je teste tout ce qui passe en variable apres un formulaire je ne dois pas avoir de faille.
Je fais attention, quoi.

Bah rog va tester tout ça

[rog]

allez un exemple trop tordu

un site :

-http://rgirardin.mine.nu/binder1.13/

les stats :

-http://rgirardin.mine.nu/binder1.13/visit.php

on a testé si le site était vulnerable à XSS et comme je log les pages vues, j'ai eu 3 js alert quand j'ai consulté mes stats car je n'avais pas filtré les variables affichées


pas grave
1) les codes injectés n'étaient pas malicieux
2) je n'utilise pas les cookies dans ce site

rog