15
janvier
2008
janvier
2008
php // Sécurité web
On reparle des failles XSS de PHP_SELF
Un article de doctorrock
J’ai déja traité le cas sur ce blog il y a quelques temps, voici que Nexen nous en ressert une couche.
Remarque, ça ne fait jamais de mal de parler sécurité, surtout concernant PHP_SELF, lorsqu’on connait le nombre impressionnant d’applications qui utilisent un code vulnérable du style :
<form method="POST" action="<?php echo $_SERVER['PHP_SELF'] ?>">
Répétons donc : tout paramètre provenant de l’extérieur du script est susceptible d’être altérable.
La quasi totalité de $_SERVER est basé sur les en-tête HTTP de la requête, et est donc altérable (XSS via Javascript).
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007