novembre
2007
Un article de doctorrock
Voici un petit rappel : n’affichez jamais PHP_SELF sans la sécuriser (htmlentities).
De manière plus générale, n’affichez jamais, de manière brute, une donnée externe, quelque soit sa source. Tout ce qui vient de l’exterieur, est susceptible d’etre altéré; tout : $_SERVER[], $_COOKIE[], $_FILES[] aussi, $_GET[],POST[](REQUEST[] donc) bien entendu, $_ENV est plus discutable.(Sans oublier l’environnement ajascent : base de données, programmes, réseau et flux …)
Un code du style <?php echo $_SERVER['PHP_SELF'] ?> autorise une injection de code javascript (XSS) menant à du vol d’informations.
Regardez plutot par là, ce petit récap
Pour les pressés, un Proof Of Concept rapide est dispo (à ce jour) :
http://www.sanitastroesch.ch/d/search.php/"><script>alert('x');</script>
Je rappelle que pouvoir exécuter un code dans l’environnement du client, permet, entre autre, le vol de cookie, via les commandes document.location et document.cookie de javascript. Il permet aussi d’acceder au referer, qui peut lui aussi contenir un identifiant de session selon les cas ( transid par refus de cookie ).
Sur beaucoup de sites, un cookie contient l’identifiant de session, et le vol de sessions devient possible, avec toutes les conséquences que ca implique.
Rappels à ce sujet
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007