Julien Pauli DevPHP blog

C’est une grande avancée que vient de réaliser Zend : Paris—Le 21 juin 2007—Le Réseau de ressources pédagogiques CERTA et la société Zend Technologies annoncent un accord de partenariat d’une durée initiale de trois ans. Leur objectif commun est de renforcer le niveau d’expertise sur les technologies PHP de la communauté nationale des professeurs chargés des enseignements de gestion des systèmes d’information et d’informatique de gestion au lycée (environ 200 classes de terminale et 400 […]

Pour tous les gens qui ont un peu ( ou beaucoup ) de mal avec les notions de Javascript, ECMAScript, DOM ( Document Object Model ), XHTML , XML et balisage … le site de Mozilla regorge de ressources qui vont permettront d’éclaircir un peu tout ca. Par exemple la page du DOM vous explique très simplement la différence entre DOM et Javascript On pourra creuser un peu plus en se penchant sur SpiderMonkey, le […]

L’application Google Docs est victime d’une faille XSS. Le filtre XSS ne semble pas bien gérer l’enclavement de balises, laissant passer une balise <script> dans un <textarea> Le code suivant est faillible : <textarea><a href="http://www.site.com/</textarea><script>alert(‘xss’)</script>"></textarea> On voit bien qu’il est difficile de filtrer les balises lorsqu’on accepte une édition Wysiwyg sur une page. Ici une balise <a> mal fermée permet l’injection. Le code HTML étant très permissif en plus, ca facilite les choses. Le POC […]

C’est un ami qui m’a fournit l’URL, c’est très drole. Via http://www.angela-merkel.de/index.php?mode=ueberzeugungen&page=../../../../../../../../../../../../../../usr/local/apache/conf/httpd.conf%00 il était ( c’est corrigé ) possible d’afficher le httpd.conf du serveur. Une attaque par inclusion de chemin relatif qui nous permet de rappeller que toute entrée dans un script, quelquesoit sa provenance, doit être systématiquement validée. On peut aussi s’apercevoir que l’utilisateur Apache possède les droits en lecture dans le repertoire d’Apache, ce qui est signe d’une grosse faiblesse niveau sécurité. A […]

le site xssed.com archive une impressionnante bibliothèque de hacks XSS en tous genres. Très très impressionnant, on y découvre defense.gouv.fr, yahoo, myspace, msn, youtube, bbc, cnn, aol ; et bien d’autres géants tous aussi vulnérables les uns que les autres. Je rappelle que le Cross Site Scripting est actuellement une des menaces les plus dangereuses qui existe dans le monde du web, elle permet notamment le défacement de sites, le vol d’identité et d’informations personnelles, […]

Phishing, vol d’identité, de coordonnées bancaires, sont autant de problème de sécurité qui émergent de nos jours. Nous utilisons tous Internet tous les jours, et celui-ci est devenu vecteur d’attaques très modernes, visant le plus souvent à soutirer de l’argent, des informations (très) personnelles , ou se faire passer pour quelqu’un d’autre; et ceci sans jamais qu’on puisse s’en apercevoir, à notre insu complètement. La sécurité web affecte aussi la renommée d’une entreprise et peut […]

Il est humainement impossible de se souvenir de tout, concernant le developpement web. PHP et ses milliers de fonctions, les css avec leurs nombreuses propriétés, le javascript et ses classes et propriétés innombrables ( surtout dans la manipulation du DOM ), Mysql et ses nombreux types de colonnes, les schémas des expressions régulières PCRE, les flags pour le mod-rewrite d’Apache, les syntaxes Xpath …. Voici une page qui recense un tat impressionnant de « cheat sheets », […]

On le dit souvent en conférence, c’est une recommandation de sécurité importante : Ne laissez pas display_error à On sur un serveur en production. Logguez les erreurs, mais ne les affichez jamais. Regardez un peu le nombre d’informations que vous fournissez sur votre appli quand vous affichez les erreurs, un exemple avec Clubic : Clubic se dévoile à l’exterieur On sait que vous êtes sous Mysql ( du moins en partie ). On aperçoit un […]

Commençons ce billet par un contre exemple. Je vous propose de visiter le site le plus affreux du monde, de tous points de vues. En fait il fait quasiment tout le contraire des bonnes pratiques du métier de developpeur web, que je vais vous rappeler, regardez plutot http://www.hrodc.com/. Avouez que c’est quand même grandiose non ? Le pire, c’est que beaucoup de sites de grands comptes ne respectent pas ces bonnes pratiques d’un web sémantique, […]

Ilia Alshanetsky relaye une info interessante concernant IE et la redirection POST : Tout le monde sait faire une redirection GET. Et bien la même chose peut être faite via la méthode POST, et de manière totallement transparente, sous IE en tout cas. Ce fait ne représente pas en soi une menace, mais associer à un peu de XSS, et là, c’est plus pareil… Imaginons un utilisateur qui envoie un formulaire en POST. Une faille […]