Sécurité

sept

Sécurité : Protection faille XSS

Dans un ancien article je vous conseillais d’utiliser des jetons pour vous protéger de la faille CSRF. Cette faille permettait à l’attaquant de d’utiliser vos droits d’administrateur pour faire n’importe quelle action sur votre site. Nous avons bouché la faille.
Cependant le cerveau humain, et plus particulièrement celui des pirates, est très mesquin et ne manque pas d’imagination pour remplir des formulaires en essayant des valeurs exotiques. Par exemple il pourrait tenter d’injecter du code Javascript ou HTML en utilisant la faille XSS.

Initialement appelée CSS (Crossing Site Scripting) cette faille s’appelle finalement XSS pour ne pas la confondre avec les feuilles de style.

Attention, je vous entends déjà dire que, vu que ce langage s’exécute du côté client d’une application, tout code Javascript ne représente pas réellement une faille de sécurité. Détrompez-vous, les injections Javascript sont à la base du vol de session. Oui, le Javascript permet de lire les cookies du visiteurs et donne donc la possibilité de les envoyer à un autre serveur (celui d’un pirate par exemple).

Lire l'article

nov

Sécurité : [Correction]Protégez vous contre le vol de sessions

par Olivier PEREZ, dans Sécurité

Suite à l’utilisation plus poussée de ma classe de protection contre le vol de sessions, je me suis aperçu d’un défaut concernant une des vérification. En effet, la vérification sur la variable $_SERVER['HTTP_ACCEPT'] ne peut pas être effectuée lors de l’utilisation d’AJAX car Firefox, par exemple, utilise cette variable HTTP de façon différente selon si [...]

Lire l'article

oct

Sécurité : basename

par Olivier PEREZ, dans Sécurité

En ce qui concerne la sécurité lors de l’utilisation du système de fichiers, la fonction basename de PHP fait vite parler d’elle. Elle permet d’extraire uniquement le nom du fichier dans une chaîne de caractères.

Par exemple, utilisons le code ci-dessous qui permet de télécharger un fichier passé grâce à la méthode GET :

<?php
	$path = '/mes_fichiers/';
	$file = $_GET['file'];
	readfile($path.$file);
?>

Ce code, très simple, affiche le contenu d’un fichier. Mais voilà … il a une énorme faille.

Lire l'article

oct

Sécurité : Protégez vous contre le vol de sessions

par Olivier PEREZ, dans Sécurité

Lorsque la faille concernant le vole de session n’est pas bouchée, il possible qu’un pirate vol votre session d’administrateur puis détruise complètement votre site. Et pourtant il est assez facile de protéger votre site contre cette faille. C’est ce que je vais vous expliquer dans cet article. D’où vient cette faille Tout d’abord, regardons comment [...]

Lire l'article

Suivez-nous où que vous soyez
Articles récents
Catégories
- Android (4)
- Apache (2)
- App Engine (1)
- Astuce (3)
- Conseil du jour (4)
- Design (1)
- Général (7)
- Google Web Toolkit (8)
- Java (1)
- Javascript (3)
- Mootools (5)
- MySQL (1)
- Oracle (1)
- PHP (7)
- Sécurité (4)
- Smarty (3)
Mots-clefs
ajax api balise basename classe conception configuration développement editeur effet encodage erreurs fichier fonction formulaire graph htaccess Javascript jeton jointure jpgraph laboratoire layout mootools Moteur de template MVC package performance PHP php.ini readfile redirection regex requête robot référencement réécriture session Smarty spam SQL style Sécurité Template web
Favoris
- Communication web et marketing

Bloc-note de développeurs

Sécurité

Sécurité : Protection faille XSS

Sécurité : [Correction]Protégez vous contre le vol de sessions

Sécurité : basename

Sécurité : Protégez vous contre le vol de sessions

Suivez-nous où que vous soyez

Articles récents

Catégories

Mots-clefs

Favoris