25
août
2009
XSS dans les en-têtes HTTP
août
2009
Un article de doctorrock
Voici un petit billet montrant une XSS dans un en-tête HTTP : le user agent.
En fait cette XSS est destinée à être exécutée au niveau des outils d’analyse de logs, qui souvent se contentent d’afficher simplement leurs résultats à l’écran dans une page Web et hop : XSS.
Rappel : tout ce qui provient du client HTTP doit être validé, c’est à dire tous les en-têtes et le contenu de sa requête. Même le « Host: » peut contenir une XSS cachée et passer dans certains cas. Gare gare !
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007