|
|
XSS : Cross Site Scripting
Liens sponsorisés
Actualités
Voici une compilation des sources d'information sur ce sujet :
XSS (Cross Site Scripting) permet l'injection de code JavaScript dans un script PHP, en exploitant des variables utilisateurs mal protégées.
Skype a discrètement corrigé une faille intitulée Skypefind Cross Zone Scripting Vulnerability [1, 2]. Cette faille permettait à des attaquants l'exécution de code Javascript malicieux sur des PC Windows.Cette faille avait été (...)
XSSDetect est un addin pour Visual Studio destiné à aider l'utilisateur à éliminer les problèmes d'XSS (Cross Site Scripting).A ce sujet je vous avais d'ailleurs déjà parler de l'Anti-Cross Site Scripting Library. Vous pouvez retrouver quelques explic...
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin
Media Gallery for Geeklog _MG_CONF Remote File In...
Site :
PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability
Site :
SquirrelMail Multiple Cross Site Scripting Vulnerabilities
Site :
WordPress Redoable Theme s Cross-Site Scripting
Site :
Xoops Resmanager Module id_reserv SQL Injection
Site :
Digirez Multiple Cross Site Scripting Vulnerabilities
Site :
vBulletin title Script Insertion Vulnerability
Site :
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin
Media Gallery for Geeklog _MG_CONF Remote File In...
Site :
PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability
Site :
SquirrelMail Multiple Cross Site Scripting Vulnerabilities
Site :
WordPress Redoable Theme s Cross-Site Scripting
Site :
Xoops Resmanager Module id_reserv SQL Injection
Site :
Digirez Multiple Cross Site Scripting Vulnerabilities
Site :
vBulletin title Script Insertion Vulnerability
Site :
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.45 (communauté) et 5.0.45 (entreprise), 4.1.22, ainsi que 5.1.20-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Drupal, Joomla, SPIP, WordPress, phorum, phpMyAdmin et vBulletin
Drupal Project and Project Issue Tracking Modules Insecure Permissions Security Bypass Vulnerability
Site :
Joomla SimpleFAQ Component aid SQL Injection
Site :
SPIP Inc-Calcul.PHP3 Remote File Include Vulnerability
Site :
WordPress Blue Memories Theme s Cross-Site Scripting
Site :
m-phorum Index.PHP Cross-Site Scripting Vulnerability
Site :
RETIRED: phpMyAdmin Multiple Cross-Site Scripting Vulnerabilities
Site :
vBulletin V3.6.8 XSS Password Md5 Hash
Site :
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.11. Les mises à jour sont fortement recommandées vers ces versions.
12 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
ArticleLive, AutoTheme, BirdBlog, FishCart, Interspire, Invision, MidiCart, myBloggie, PHP-Nuke, PHPCart, phpmyadmin et PRADO
+ ArticleLive Bugs Let Remote Users Gain Administrative Access, Inject SQL Commands, and Conduct Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/May/1013895.html
+ AutoTheme for PostNuke Blocks Module May Let Remote Users Gain Access
http://www.SecurityTracker.com/alerts/2005/May/1013908.html
+ BirdBlog BB Code HTML Injection Vulnerability
http://www.securityfocus.com/bid/13520?ref=rss
+ FishCart SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/1165
+ Interspire ArticleLive 2005 Cross-Site Scripting and Security Bypass
http://secunia.com/advisories/15250/
+ Invision Power Board Cross-Site Scripting and SQL Injection
http://secunia.com/advisories/15265/
+ MidiCart PHP Shopping Cart Cross-Site Scripting and SQL Injection
http://www.secunia.com/advisories/15269/
+ Multiple vulnerabilities in myBloggie 2.1.1
http://www.securityfocus.com/archive/1/397546?ref=rss
+ PHP-Nuke SQL Injection and Cross Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/1180
+ PHPCart Authentication Flaw Lets Remote ...
Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.42 (entreprise), 4.1.22, ainsi que 5.1.19-beta. Les mises à jour sont recommandées vers ces versions.
5 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, Invision Power Board, Joomla, ez et vBulletin
Particle Gallery Search.PHP Cross-Site Scripting Vulnerability
Site :
Invision Power Board editorid Parameter Client-Side Cross Site Scripting Vulnerability
Site :
Joomla Phil-A-Form Component Index.PHP SQL Injection Vulnerability
Site :
Digirez Two Cross-Site Scripting Vulnerabilities
Site :
Multiple PHP remote file inclusion vulnerabilities in the creator in vBulletin Google Yahoo Site Map (vBGSiteMap) 2.41 for vBulletin allow remote attackers to execute arbitrary PHP code via a URL in the base parameter to (1) vbgsitemap/vbgsitemap-config.p
Site :
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.5 et 4.4.0; MySQL 4.0.26, 4.1.14 et 5.0.13. Les mises à jour sont fortement recommandées vers ces versions.
12 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Complete, Cyphor, MediaWiki, PHP Advanced Transfer Manager, PHP-Fusion, phpMyAdmin, phpWebSite, Utopia, versatileBulletinBoard, Xeobook, YaPig et ZeroBlog
+ Complete PHP Counter Input Validation Holes Permit SQL Injection and Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/Oct/1015054.html
+ Cyphor Remote SQL Injection and Cross-Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/2264
+ MediaWiki History Database Corruption Vulnerability
http://www.securityfocus.com/bid/15041
+ PHP Advanced Transfer Manager HTML Upload Vulnerability
http://secunia.com/advisories/17134/
+ PHP-Fusion register.php activate Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=19866
+ phpMyAdmin Local file inclusion 2.6.4-pl1
http://www.securityfocus.com/archive/1/413152
+ phpWebSite Search Module Remote SQL Injection Vulnerability
http://www.frsirt.com/bulletins/2326
+ Utopia News Pro SQL Injection and Cross-Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/2265
+ versatileBulletinBoard SQL Injection and Cross-Site Scripting Issues
http://www.frsirt.com/bulletins/2314
+ Xeobook Multiple HTML Injection Vulnerabilities
http://www.securityfocus...
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.11. Les mises à jour sont fortement recommandées vers ces versions.
15 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Access_user, AlstraSoft, CubeCart, Litecommerce, PayProCart, PHP group, PHP-Nuke, PHPBB, PHPMyAdmin, PostNuke, ProfitCode, PunBB, Runcms, sCssBoard et Turnkey
+ PHP-Nuke Banners.PHP Cross-Site Scripting Vulnerability
+ PHPBB Linkz Pro Module SQL Injection Vulnerability
+ PHPMyAdmin Convcharset Cross-Site Scripting Vulnerability
+ PostNuke Cross-Site Scripting and SQL Injection Vulnerabilities
+ Access_user Class Undocumented Default Password
http://secunia.com/advisories/14897/
+ AlstraSoft EPay Pro Cross-Site Scripting and Arbitrary File Inclusion
http://secunia.com/advisories/14802/
+ CubeCart Discloses Installation Path to Remote Users
http://www.SecurityTracker.com/alerts/2005/Apr/1013660.html
+ Litecommerce Input Validation Bugs in 'cart.php' Let Remote Users Inject SQL Commands
http://www.SecurityTracker.com/alerts/2005/Apr/1013658.html
+ PayProCart Authentication Bug Grants Remote Users Administrative Access and Input Validation Hole Permits Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/Apr/1013640.html
+ PHP Group PHP Image File Format Remote Denial Of Service Vulnerability
http://www.securityfocus.com/bid/12962?ref=rss
+ PunBB profile.php new_email ...
Squarefree rassemble quelques conseils pour se prémunir contre les attaques web les plus classiques :
Cross-site scripting (XSS)
Cross-site request forgery (CSRF)
Other common holes
Entre celui-ci et le PHP Securit Guide, il faudrait bien une version francaise des guides de sécurité. Direction|PHP dispose d'une rubrique sécurité mensuelle dans ses colonnes.
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.11. Les mises à jour sont fortement recommandées vers ces versions.
11 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
eDMS, Help Center Live, New, OpenBB, PostNuke, SafeHTML, Serendipity, Shop-Script, Skull-Splitter's, Woltlab et Wordpress
+ eDMS Multiple Unspecified Vulnerabilities
http://secunia.com/advisories/15410/
+ Help Center Live Input Validation Bugs Permit SQL Injection and Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/May/1013986.html
+ NPDS comments.php thold Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=16648
+ OpenBB Cross-Site Scripting and SQL Injection Vulnerabilities
http://secunia.com/advisories/15336/
+ PostNuke Blocks Module "func" Directory Traversal Vulnerability
http://www.frsirt.com/bulletins/1241
+ SafeHTML Quotes Handling Security Bypass Vulnerability
http://www.securityfocus.com/bid/13659?ref=rss
+ Serendipity File Upload and Cross-Site Scripting Vulnerabilities
http://secunia.com/advisories/15405/
+ Shop-Script FREE index.php Multiple Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=16646
+ Skull-Splitter's PHP Guestbook Script Insertion Vulnerability
http://www.secunia.com/advisories/15377/
+ WoltLab Burning Board Input Validation Hole in verify_email() Permits SQL Injection
http://www.Securit...
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.3; MySQL 4.0.23 et MySQL 4.1.10a. Les mises à jour sont fortement recommandées
vers ces versions.
26 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
BirdBlog, Ciamos, CzarNews, DigitialHive, Double, dream4, E-Xoops, exoops, Invision, Kayako, Koobi, MercuryBoard, osCommerce, paFileDB, Phorum, PHP-Fusion, phpbb, phpMyDirectory, PHPMyFamily, PHPOpenChat, PHPSysInfo, Smarty, Subdreamer, Topic, TRG et Vortex
+ E-Xoops highlight.php Information Disclosure
+ Invision Power Board HTML Injection Vulnerability
+ Smarty regex_replace Modifier Template Security Bug Lets Users Execute PHP Code
+ phpbb 2.0.13 Exploit (bug)
+ BirdBlog AdminCore.PHP SQL Injection Vulnerability
http://online.securityfocus.com/bid/12880
+ Ciamos Highlight.PHP File Disclosure Vulnerability
http://online.securityfocus.com/bid/12854
+ CzarNews "tpath" File Inclusion Vulnerability
http://secunia.com/advisories/14670/
+ DigitialHive Base.PHP Cross-Site Scripting Vulnerability
http://online.securityfocus.com/bid/12883
+ Double Choco Latte Lets Remote Users Execute Arbitrary Commands and Conduct Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/Mar/1013559.html
+ dream4 Koobi "area" SQL Injection Vulnerability
http://secunia.com/advisories/14696/
+ exoops Discloses Installation Path and Database Password to Remote Users
http://www.Securit...
Autres actualités
- Les dangers de CSRF et XSS
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux [...]
- sécurité - Les sites Web sans faille restent rares
Une étude de WhiteHat sur les vulnérabilités de la Toile révèle que deux tiers des sites analysés rendent possible l'injection de code externe, appelée « cross site scripting ».[...]
- Bienvenue à la DOM Scripting Task Force
- [pratique] Sajax : une bibliothèque de remote scripting complète
- DOM Scripting dans Safari, Opera 9 et Internet Explorer 7
- Bahloul dominateur
Cross-country, Championnats IDF
SOUS LES YEUX de Guy Drut, le maire de la
ville, et de Michel Jazy, sorti de sa retraite landaise, la Cristolienne Hamel dans le cross
court et Malik Bahloul (Lagardèr[...]
- Cyclisme - ChM (Cross) : La sélection française
La composition de la sélection française pour les championnats du monde de cyclo-cross, qui se dérouleront les 30 et 31 janvier à Tabor (République tchèque), a été dévoilée lundi.[...]
- Essai Volkswagen Cross Golf : du cross dans la ville
Tags :[...]
- CYCLO-CROSS - Coudray, roi du Coudray - par Intensite le 06.01.2008 : 18:25
CYCLO-CROSS - Au coudray, le Chartrain Stéphane COUDRAY à conquis sa 200eme victoire ce dimanche après midi sur le circuit de cyclo cross de la commune du Coudray.[...]
- VW Cross Touran
Volkswagen propose depuis hier son Cross Touran . Garde au sol légèrement rehaussée (12mm), grille de calandre chromée mate, jantes 17, bas de caisse...[...]
- INGERSHEIM / CROSS DES SAPEURS-POMPIERS : Le corps local se distingue
Samedi dernier, par une météo printanière, a eu lieu le traditionnel cross des sapeurs-pompiers à Bergheim. ...[...]
- Moto-Cross : Trophée de France Landéhen (22)
[ABP]
Lors de cette réunion sportive de Moto-cross à Landéhen (22), on notera la superbe course de Paul Stauder (photo).[...]
- Cross du collège Prévert : Plus de 500 participants
Plus de 500 élèves collégiens ont participé jeudi, 22 octobre, à Wintzenheim, au cross du collège Prévert sur un parcours empruntant le site du Boden. ...[...]
- Cross à Saint-Gilles
Le Wintzenheim Athlétic-cIub organise la 20e édition du cross de Saint-Gilles/Bâtibois, ce samedi 15 novembre. ...[...]
- Le web au cœur des dispositifs cross-média
Le web dans la communication cross-média avec POLE EMPLOI, AMAGUIZ, FIGAROMEDIAS et WEDIA – Débat TV organisé par WEDIA, Stratégies, Le Figaro.fr et Adobe[...]
|
|
|
Formation referencement Google
Formation au référencement par les spécialistes en référencement de Ranking Metrics : conférence le matin, atelier pratique l'après-midi.
|
|
|