Archives du site

Sécurité : Protection faille XSS

Posté le 23 septembre 2010 par Olivier PEREZ

Dans un ancien article je vous conseillais d’utiliser des jetons pour vous protéger de la faille CSRF. Cette faille permettait à l’attaquant de d’utiliser vos droits d’administrateur pour faire n’importe quelle action sur votre site. Nous avons bouché la faille.
Cependant le cerveau humain, et plus particulièrement celui des pirates, est très mesquin et ne manque pas d’imagination pour remplir des formulaires en essayant des valeurs exotiques. Par exemple il pourrait tenter d’injecter du code Javascript ou HTML en utilisant la faille XSS.

Initialement appelée CSS (Crossing Site Scripting) cette faille s’appelle finalement XSS pour ne pas la confondre avec les feuilles de style.

Attention, je vous entends déjà dire que, vu que ce langage s’exécute du côté client d’une application, tout code Javascript ne représente pas réellement une faille de sécurité. Détrompez-vous, les injections Javascript sont à la base du vol de session. Oui, le Javascript permet de lire les cookies du visiteurs et donne donc la possibilité de les envoyer à un autre serveur (celui d’un pirate par exemple).

PHP : PDO Requêtes préparées

Posté le 22 juin 2010 par Olivier PEREZ

De nos jours, énormément de sites dynamiques utilisent une base de données SQL. Tout le monde sait que l’accès à une base de données prend un temps non négligeable dans le traitement d’un site web. De plus, pour ceux qui se sont déjà intéressé à la sécurité, vous avez sûrement remarqué la quantité énorme de failles qu’il peut exister entre un script et sa base de données.
Nous allons voir dans cet article comment gagner en performance et en sécurité grâce aux requêtes préparées.

Sécurité : [Correction]Protégez vous contre le vol de sessions

Posté le 21 novembre 2009 par Olivier PEREZ

Suite à l’utilisation plus poussée de ma classe de protection contre le vol de sessions, je me suis aperçu d’un défaut concernant une des vérification. En effet, la vérification sur la variable $_SERVER[‘HTTP_ACCEPT’] ne peut pas être effectuée lors de…

Oracle : Générez du XML directement dans vos SELECT

Posté le 24 octobre 2009 par Olivier PEREZ

J’ai eu, pendant mon stage, à extraire des données depuis un schéma avec 80 tables vers des fichiers XML. Et je peux vous l’assurer, quand on a l’habitude de travailler sous MySQL avec une dixaine de tables au maximum, ça…

Envoyer un formulaire par Ajax avec Mootools

Posté le 15 juin 2009 par Olivier PEREZ

Aujourd’hui nous allons voir comment envoyer un formulaire grâce à l’AJAX avec le framework javascript Mootools. Nous allons créer dans un premier temps 2 pages PHP, une qui contiendra le formulaire et l’autre qui affichera uniquement la réponse. Ensuite nous mettrons en place notre Javascript qui capturera l’évènement submit du formulaire pour envoyer une requête AJAX à la place.
[…]

Les jointures naturelles

Posté le 12 juin 2009 par Olivier PEREZ

Vous avez sûrement déjà travaillé avec des tables en relation les unes avec les autres dans une base de données. Puis écris des jointures sur plusieurs lignes en vous demandant comment vous aviez appelé les champs de la jointure dans chacune des tables.

Et bien vous allez être surpris de la puissance de la jointure naturel.
[…]