24
avril
2008
Elections USA : ça XSS par ci par là ….
avril
2008
Un article de doctorrock
Vous l’avez peut-etre entendu, mais les sites de Barack Obama et Hillary Clinton, sont tous deux vulnérables à des failles XSS.
Xssed nous en donne un aperçu (certaines failles sont déja colmatées).
En fait, les commentaires du blog de Barack Obama étaient redirigés vers le site d’Hillary …
Mais tous les analystes sont certains que ça aurait pu être bien plus grave ( redirection vers un site malveillant exploitant une faille d’un navigateur, CSRF, etc…. )
Sortez couverts, si j’ose dire.
Du coté obscur :
- Valider toutes les entrées
- Utiliser systématiquement des fonctions comme htmlentities(), htmlspecialchars(), etc…
- Si le site repose sur Ajax : proposer une interface qui fonctionne SANS Ajax en parallèle
- Utiliser des outils de tests de pénétration, tentez de vous hacker vous mêmes
- Faites attention aux jeux de caractères
Du coté utilisateur :
- Désactiver Javascript (Sic!)
- Du moins utiliser des extensions comme NoScript, qui sont très efficaces
- Eviter d’utiliser IE, j’ai rien contre, mais les statistiques parlent d’elles mêmes : c’est un gruyère, et il n’existe aucun moyen de se protéger (extensions tierces) sauf les moyens fournis par Microsoft (en comparaison avec Firefox)
- Ne surfez sur des sites sensibles (e-commerce, banque, dossiers personnels) qu’avec un navigateur spécialement prévu à cet effet : cette technique du navigateur « poubelle » et du navigateur « sécu » est très efficace pour éviter le XSS, les cookies étant stockés par navigateur
- C’est difficile, mais fermez votre session manuellement sur un site (comme Gmail par exemple, très prisé), et retapez votre mot de passe, à chaque fois(…), ne laissez pas un onglet ouvert en permanence vers un site où vous êtes loggués.
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007