Actualités Création de sites web > Les dangers de CSRF et XSS















Dictionnaire en ligne  
Définitions Sigles Participez !
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
 
Rechercher

Rejoignez-nous sur la page Facebook Dicodunet

Tags

Les dangers de CSRF et XSS

 Liens sponsorisés

 Actualités

Voici une compilation des sources d'information sur ce sujet :

Les dangers de CSRF et XSS... ()

De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...

Utiliser CSRF pour pirater un navigateur... ()

Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...

Sécurité : Séminaire web sur les CSRF par Jeremiah Grossman (17/07/07)... ()

Jeremiah Grossman propose une conférence en ligne consacré aux CSRF. Il consacrera la session à démystifier les Cross-Site Request Forgery (CSRF), le Session Riding, les chevaux de Troy sur le...

Conseils de sécurité pour les développements en ligne... ()

Squarefree rassemble quelques conseils pour se prémunir contre les attaques web les plus classiques : Cross-site scripting (XSS) Cross-site request forgery (CSRF) Other common holes Entre celui-ci et le PHP Securit Guide, il faudrait bien une version francaise des guides de sécurité. Direction|PHP dispose d'une rubrique sécurité mensuelle dans ses colonnes.

CSRF : attention danger... ()

Les CSRF sont des attaques qui s'appuient sur un utilisateur référencé sur un site Web pour faire passer des commandes. Le pirate ne connait pas le mot de passe utilisateur, mais prend la session de travail : contrairement aux XSS, les CSRF exploitent la confiance du site Web envers les utilisateurs identifiés. Les CSRF sont plus rares, mais Chris Shiflett en signale une d'envergure : en 20 heures, samy a pu se faire référencer commer ami et 'héros' de près d'un million de personnes sur le site de myspace.

XSS : Cross Site Scripting... ()

XSS (Cross Site Scripting) permet l'injection de code JavaScript dans un script PHP, en exploitant des variables utilisateurs mal protégées.

Alertes sécurité des applications PHP et MySQL, édition 148... ()

PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes : PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions. 7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes : Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin Media Gallery for Geeklog _MG_CONF Remote File In... Site : PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability Site : SquirrelMail Multiple Cross Site Scripting Vulnerabilities Site : WordPress Redoable Theme s Cross-Site Scripting Site : Xoops Resmanager Module id_reserv SQL Injection Site : Digirez Multiple Cross Site Scripting Vulnerabilities Site : vBulletin title Script Insertion Vulnerability Site :

Alertes sécurité des applications PHP et MySQL, édition 148... ()

PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes : PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions. 7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes : Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin Media Gallery for Geeklog _MG_CONF Remote File In... Site : PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability Site : SquirrelMail Multiple Cross Site Scripting Vulnerabilities Site : WordPress Redoable Theme s Cross-Site Scripting Site : Xoops Resmanager Module id_reserv SQL Injection Site : Digirez Multiple Cross Site Scripting Vulnerabilities Site : vBulletin title Script Insertion Vulnerability Site :

Alertes sécurité des applications PHP et MySQL, édition 158... ()

PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes : PHP 5.2.3 et 4.4.7; MySQL 5.0.45 (communauté) et 5.0.45 (entreprise), 4.1.22, ainsi que 5.1.20-beta. Les mises à jour sont recommandées vers ces versions. 7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes : Drupal, Joomla, SPIP, WordPress, phorum, phpMyAdmin et vBulletin Drupal Project and Project Issue Tracking Modules Insecure Permissions Security Bypass Vulnerability Site : Joomla SimpleFAQ Component aid SQL Injection Site : SPIP Inc-Calcul.PHP3 Remote File Include Vulnerability Site : WordPress Blue Memories Theme s Cross-Site Scripting Site : m-phorum Index.PHP Cross-Site Scripting Vulnerability Site : RETIRED: phpMyAdmin Multiple Cross-Site Scripting Vulnerabilities Site : vBulletin V3.6.8 XSS Password Md5 Hash Site :

Se protéger contre les CSRF en trois points... ()

Les CSRF sont plutôt difficiles à contre carrer, puisqu'elles exploitent l'identitée d'un utilisateur dûment authentifié, et que le pirate n'est même pas en contact direct avec le site. ThinkPHP vous...

Alertes sécurité des applications PHP et MySQL, édition 149... ()

PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes : PHP 5.2.3 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.42 (entreprise), 4.1.22, ainsi que 5.1.19-beta. Les mises à jour sont recommandées vers ces versions. 5 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes : Gallery, Invision Power Board, Joomla, ez et vBulletin Particle Gallery Search.PHP Cross-Site Scripting Vulnerability Site : Invision Power Board editorid Parameter Client-Side Cross Site Scripting Vulnerability Site : Joomla Phil-A-Form Component Index.PHP SQL Injection Vulnerability Site : Digirez Two Cross-Site Scripting Vulnerabilities Site : Multiple PHP remote file inclusion vulnerabilities in the creator in vBulletin Google Yahoo Site Map (vBGSiteMap) 2.41 for vBulletin allow remote attackers to execute arbitrary PHP code via a URL in the base parameter to (1) vbgsitemap/vbgsitemap-config.p Site :

Une faille de sécurité découverte dans la Neuf Box 4... ()

Un chercheur en sécurité informatique, Adrian Pastor, a révélé l'existence d'une faille de sécurité dans le routeur BT Home Hub de Bristish Telecom (basé sur le SpeedTouch 7G). Cette vulnérabilité critique permettrait de désactiver le Wifi, de changer la clé WEP et même, en utilisant un backdoor, de prendre le contrôle total du routeur. Pour s'immiscer dans cette faille, il suffit d'inciter l'internaute victime à cliquer sur un lien l'amenant sur une page web qui va activer l'attaque (de type CSRF pour « Cross-Site Request Forgery »). Une fois le processus mis en route, les protections disparaissent, tranformant le routeur en porte grande ouverte. Les utilisateurs de Neufbox (et de routeurs basés sur le Speedtouch 7G) sont donc priés de cliquer avec prudence, en attendant une éventuelle réaction de la part du FAI.

Alertes sécurité des applications PHP et MySQL, édition 155... ()

PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes : PHP 5.2.3 et 4.4.7; MySQL 5.0.45 (communauté) et 5.0.46 (entreprise), 4.1.22, ainsi que 5.1.20-beta. Les mises à jour sont recommandées vers ces versions. 8 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes : Drupal, Gallery, Joomla, PHP Nuke, SquirrelMail, WordPress, ez et vBulletin Drupal Multiple Cross-Site Scripting and Request Forger... Site : Pony Gallery Random Image for Joomla catid Remote SQL Inject... Site : Pony Gallery Random Image for Joomla catid Remote SQL Inject... Site : PHP-Nuke Search Module Cross-Site Scripting Vulnerability Site : SquirrelMail Compose.PHP Multiple Information Disclosure and Data Modification Vulnerabilities Site : WP-FeedStats Plugin for WordPress Script Insertion Vuln... Site : TIBCO Rendezvous RVD Daemon Unspecified Denial Of Service Vulnerability Site : RETIRED: vBulletin Multiple Remote File Include Vulnerabilities Site :

XSSDetect : première beta publique de l'outil d'analyse statique disponible... ()

XSSDetect est un addin pour Visual Studio destiné à aider l'utilisateur à éliminer les problèmes d'XSS (Cross Site Scripting).A ce sujet je vous avais d'ailleurs déjà parler de l'Anti-Cross Site Scripting Library. Vous pouvez retrouver quelques explic...

Prévention des CSRF avec les sessions... ()

Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...

 Autres actualités

Formation referencement
Formation au référencement par les spécialistes en référencement de Ranking Metrics : conférence le matin, atelier pratique l'après-midi.

Formation referencement
Nuage de tags :