|
|
 |
Liens sponsorisés
Actualités
Voici une compilation des sources d'information sur ce sujet :
Les attaques XSS prenent des formes variées, et s'appuient sur toutes les faiblesses du code. Traditionnellement, on s'en protège avec htmlentities() ou htmlspecialchars(), mais cela suppose même que la balise...
Les attaques XSS prennent des formes variées, et s'appuient sur toutes les faiblesses du code. Traditionnellement, on s'en protège avec htmlentities() ou htmlspecialchars(), mais cela suppose même...
Une astuce technique pour cacher les attaques XSS est de les inclure dans les ancres. C'est valide avec la vulnérabilité PDF universelle d'Adobe, et il est rare qu'une ancre soit vérifiée pour sa validité de toutes manières.
Les injections XSS permettent d'accéder aux données personnelles des utilisateurs de sites Web. C'est sur elles que reposent les attaques en Cross Site Scripting.
Steven J. Murdoch détaille une faille XSS qu'il a découverte dans WordPress, et qui s'explique en 2 types d'attaques XSS : la première est liée au manque de validation des...
Via GnuCitizen, je viens de découvrir xssed, un site qui recense les vulnérabilités dans les 500 premières applications Web classées par Alexa (c'est à dire, grosso modo les plus populaires). Les chiffres sont effrayants : plus de 5000 vulnérabiltés, 39 corrigées, 14 en attente. Il y a même une liste des sites, classé par PageRank.
GnuCitizen est inquiet du fait qu'il existe un moyen simple pour retrouver des sites vulnérables, et que cela aide considérablement les pirates à automatiser la mise en place d'un vers géant. En combinant les attaques sur divers sites, il devient possible de monter un raz-de-marée XSS incroyable.
Via GnuCitizen, je viens de découvrir xssed, un site qui recense les vulnérabilités dans les 500 premières applications Web classées par Alexa (c'est à dire, grosso modo les plus populaires). Les chiffres sont effrayants : plus de 5000 vulnérabiltés, 39 corrigées, 14 en attente. Il y a même une liste des sites, classé par PageRank.
GnuCitizen est inquiet du fait qu'il existe un moyen simple pour retrouver des sites vulnérables, et que cela aide considérablement les pirates à automatiser la mise en place d'un vers géant. En combinant les attaques sur divers sites, il devient possible de monter un raz-de-marée XSS incroyable.
SafeHTML est un analyseur HTML anti-XSS, écrit en PHP. Il analyse le code HTML dans une variable (idéalement, les variables d'entrées type $_GET, $POST), et supprime les aspects dangereux de la balise, comme les balises mal fermées, le javascript. C'est une bibliothèque pratique, à garder sous la main.
Je suis en train de faire un site et j'ai découvert un petit problème de redirection lorsque j'ai tenté de vérifié la sécurité de mon site au attaques XSS.
(injecter <script>alert('xss')</script> dans mon url)
Le problème est que ja... Forum URL Rewriting et .htaccess
Le mitre, un organisme américain, classe les XSS en tête des problèmes de sécurité. Les XSS permettent notamment de contourner les politiques de sécurité telles que celles qui limitent les...
Lors de l'utilisation de la fonction de protection htmlentities, il est important de toujours préciser l'encodage de caractère utilisé. Par exemple
est insuffisant contre les attaques à l'aide d'UTF-7. Il suffit simplement d'ajouter le nom du jeu de caractères manipulé derrière.
Danne Lundqvist signale un excellent site qui recensent une bibliothèque très complète d'attaques XSS et de variantes de la même attaque. Lors de la mise en place d'outil pour contrer les XSS, cette bibliothèque sert à tester les défenses contre un maximum d'attaques différentes.
Si vous ne savez pas encore ce que c'est qu'une XSS (Cross Site Scripting), alors il est temps de lire l'article de phpsecure.
XSS (Cross Site Scripting) permet l'injection de code JavaScript dans un script PHP, en exploitant des variables utilisateurs mal protégées.
Sean Coates relate sa découverte des XSS là où il l'attendait pas : dans $_SERVER["PHP_SELF"].
Les XSS consistent à injecter du code JavaScript dans une page, en faisant placer des données dans le code HTML par le script PHP. Le grand classique est
echo $_GET["x"];. qui injecte toute la variable x passée en méthode GET dans le code HTML. Il ne reste plus qu'à donner à x un peu de code Javascript, et le tour est joué.
Outre _GET, _POST et _COOKIE, il est recommandé de de pas utiliser _SERVER non plus. Sean vous explique pourquoi.
Olivier Veujoz a découvert à l'occasion d'un audit de son application, que son code était vulnérable à une faille XSS. A l'origine, les données provenant de l'utilisateur et mélangées au code HTML ne sont pas protégées, et ouvre la porte à la manipulation du code final.
J'ai beaucoup de respect pour ces expériences vécues, où l'auteur transforme une mésaventure en un billet d'information pour tous. Vous savez sûrement ce qu'est une XSS, mais relaté comme un problème avéré, cela devient une menace sérieuse, et non plus un concept abstrait. Je suis vulnérable... (0 visite) miasmatech (0 visite) htmlentities is badly designed (0 visite)
Sites de l'annuaire
Voici des sites figurant dans notre annuaire (inscription gratuite) :
- Troubles-anxieux.com: Phobies, paniques
Troubles-anxieux.com est un site généraliste d'informations et d'échanges sur les diverses formes de troubles anxieux. L'anxiété, l'angoisse, les attaques de paniques, les troubles psychosomatiques les phobies mais aussi la dépression et les dépendances m
Catégorie : Santé > Santé mentale
http://www.troubles-anxieux.com/
- Secunews
Secunews, est un site, où vous trouverez toutes sortes d'informations, et de petites astuces pour optimiser, améliorer votre ordinateur, mais aussi et surtout, le protéger des attaques virales et autres....
Catégorie : Informatique > Sécurité informatique
http://www.secunews.org/
- Pirates in space : jeu gratuit pour pirates de l'espace par navigateur
Pirate In Space est un jeu gratuit par navigateur. Vous n'avez rien à télécharger, rien à installer. Dans ce jeu, vous incarnez un pirate de l'espace qui peut vivre de cambriolages, transports de contrebande, de primes gagnées après avoir retrouvé les pires bandits de la galaxie... Pour écumer la galaxie, voyager de planètes en planètes pour accomplir des missions ou des quêtes, votre pirate devra équiper son vaisseau spatial. De plus, vous devrez recruter un équipage avec différentes compétences ( pilotes, mécaniciens, mercenaires, voleurs, médecins, ... ). Pour gagner votre vie, vous avez le choix entre des activités légales ( travailler aux docks, transporter des marchandises ou des passagers, devenir chasseur de primes, faire la course de la Grande Odyssée... ), et des activités illégales ( attaques des bâtiments des planètes, attaques d'autres joueurs,... )...
Catégorie : Jeux de rôle > Internet - MMORPG
http://www.piratesinspace.com/
- Generation Star Wars
La République se remet lentement de l'invasion Yuuzhan Vong. L'Ordre Jedi se reconstruit face aux attaques incessantes des Seigneurs Siths qui profitent du chaos pour tenter de faire main basse sur la galaxie. Venez sauver une nouvelle fois la galaxie....
Catégorie : Jeux de rôle > Jeux RPG
http://generationstarwars.xooit.com/index.php
- Code de la route, permis de conduire - Test de code de la route en ligne
Test de code de la route en ligne, aide au passage de l'examen national du code de la route et permis de conduire. Vente dvd logiciel tests de code officiel...
Catégorie : Ressources > Code de la route
http://www.code-a-domicile.com/
- Poignée de porte anti-vandallisme
Protection anti-vandalisme et anti-effraction, avec nos ensemble vous obturez l'entrée de votre clé par un cache s'ouvrant lui meme par une clé magnétique codée. Vous êtes protégé contre le vandalisme et contre les risques d'arrachages, crochetage et perçage de votre cylindre....
Catégorie : Sciences et technologies > Inventions
http://www.boutique-dreamtech.com/
- Dépannage entretien maintenance formation assistance informatique
Installer - Dépanner. Dom'S tic se déplace à votre domicile pour diagnostiquer et analyser votre ordinateur afin de solutionner vos soucis. Dom'S tic s'occupe pour vous : de la livraison à domicile de matériels informatiques, de l'installation et ou de la réparation de votre ordinateur à votre domicile, de paramétrer vos périphériques (imprimantes, scanner, etc.), de paramétrer votre configuration Internet (ADSL, Wifi, etc…), de la restauration après incident (virus, spyware, etc.), du nettoyage après ralentissement excessif. Conseiller - Accompagner. Dom'S tic est à votre écoute pour vous accompagner à votre domicile dans vos premiers pas avec le monde du multimédia. Nous vous guidons et vous conseillons afin que vous puissiez tirez le maximum des capacités de l'outil informatique dont vous avez besoin. Dom'S tic vous propose : initiation enfant ou adulte, formation aux logiciels, formation au fonctionnement du matériel informatique, aide à la création de site ou page perso sur internet, aide au référencement de votre site. Protéger. Vous ne souhaitez plus perdre vos données personnelles, musiques, photos… Vous voulez être sûr d'être protégé contre les attaques informatiques qui traînent sur Internet, afin d'éviter de réinstaller votre configuration. Dom'S tic peut intervenir régulièrement chez vous pour mettre à jour votre système et sauvegarder vos informations pour vous permettre de les réinstaller en urgence si votre ordinateur connaît un problème....
Catégorie : Somme (80) > Dépannage informatique Somme
http://domstic.free.fr/
- CodeRoute : Code en ligne - site européen du code de la route
CodeRoute : Examen et formation sur le code de la route. Avec 1200 questions et 230 leçons animées conformes au nouveau code de la route. Réviser en condition réel. Annuaire des auto-écoles pour toute la France....
Catégorie : Ressources > Code de la route
http://www.coderoute.com/
- Maillot, polos et autres vetements rugby, chez Renvoi'O22
Spécialiste du prêt à porter rugby avec les marques 111 Sella, NTK, Cambé, Ellis Park, Kaora et de tout l'équipement technique du joueur ou club de rugby, hand, foot et basket : ballon, short, chaussettes, chaussures, protège dents, protège tibias....
Catégorie : Textiles et cuir > Vêtements de sport
http://www.renvoi-o22.com/
- Le Standard de l'Immobilier - service d'aide à la vente entre particuliers
Le Standard de l'Immobilier fournit un service d'assistance à toute personne désireuse de vendre un bien immobilier directement aux particuliers, mais qui souhaite se libérer de la gestion des appels téléphoniques ainsi que des visites... notre rôle est de les prendre en charge...
Catégorie : Annonces immobilières > Immobilier entre particuliers
http://www.standardimmobilier.fr/
Autres actualités
- XSS universelle avec le plug-in Adobe PDF ...
Stefan Esser signale une vulnérabilité XSS qui affecte les modules PDF des navigateurs : il suffit d'ajouter une variable et son injection dans une ancre URL, à la suite de...[...]
- Illustrer les conséquences des XSS
Les XSS souffrent d'un handicap par rapport aux injections SQL : elles semblent anodines. Il faut reconnaitre que vider une table SQL est quand même plus impressionnant que d'afficher une...[...]
- Les dangers de CSRF et XSS ...
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux [...]
- Éviter les attaques XSS contre les éditeurs HTML javascript ...
Les éditeurs HTML sont des applications JavaScript qui permettent une édition WYSIWYG de texte : édition des styles, création de liens, ajouts d'images, gestion de listes, etc. C'est une amélioration.[...]
- Attaques informatiques moins spectaculaires mais plus ciblées ...
Finies les attaques spectaculaires de virus informatiques du type "I love you", "Nimda" ou "Sasser", qui infectaient les ordinateurs du monde entier en seulement quelques[...]
- Craindre les XSS
- XSS : la vulnérabilité du futur ...
- Afrique - Spectaculaires attaques de crocodiles contre des gnous ...
<b>Chronique -</b> Après "Un Jour sur Terre", la splendide série documentaire "Planète Terre" sort en DVD. Découvrez un extrait où crocodiles et gnous se livrent [...]
- XSS : Cross Site Scripting ...
- Tout sur les XSS
- Anatomie d'une vulnérabilité XSS
- safehtml : protection contre les XSS ...
- Les dangers des XSS avec Flash ...
- Inclusion PHP et XSS : les vulnérabilités de l'année ...
- Boxe · Pascal, par K.-O. technique ...
Pascal est assurément supérieur à Froch sur le plan technique. Ses attaques sont plus variées, et sa défense plus étanche. (Journal de Montréal)[...]
|
|
|
|
