Cross Site Scripting ?

Posté par  . Modéré par Amaury.
Étiquettes : aucune
0
23
mai
2002
Sécurité
Je viens de découvrir une excellente FAQ, sur l'épineux problème du « cross site scripting ». L'auteur de cette FAQ part de la base et décrit concrètement ce qui se passe, comment c'est fait, voire pourquoi c'est fait...
Comme toute bonne FAQ, il y a des réponses aux questions classiques.
L'article se termine par une série de liens intéressants sur le sujet.
En résumé, une bonne source si vous vous posiez des question de base sur le thème.

Aller plus loin

  • # Très très bonne article !!!

    Posté par  (site web personnel) . Évalué à 10.

    Je trouve cette article très très intéressant !! Seulement, j'aurais bien aimé trouver une version peut être un peu moins complête, mais en Français pour bien comprendre tout.

    Je pense que cela doit exister !! Si qqun en connais un ??
  • # Très bonne découverte !

    Posté par  . Évalué à 10.

    Je suis relativement novice dans le monde
    de l'informatique (tout juste 3 ans d'études informatiques derrière moi), et je content que des articles comme celui-ci soit publiés, car ils me montrent que même si l'on a tous plus ou moins entendu parler d'à peu prêt tout, il y a des points comme les XSS qui m'étaient totalement inconnu !

    Si une FAQ ou même une brève introduction sur le sujet existe en français, j'aimerai que vous me le fassiez savoir.

    Mais vraiment, bon article !
  • # Document très intéressant....

    Posté par  . Évalué à -10.

    ... et qui fait bien la part des choses, sans tomber dans le piège de l'alarmisme à outrance.
    Ca manque peut-être de petits trucs et astuces pour éviter les XSS, mais il y a plein de liens qui peuvent aider et qui sont fournis à la fin.

    Personnellement, pour éviter les XSS, je développe tous mes sites en HTML plutôt qu'en PHP, HTML étant beaucoup plus "secure" que PHP (sauf peut-être dans la dernière version de PHP, où il revient au niveau d'un ASP ou d'un Perl).
    • [^] # Re: Document très intéressant....

      Posté par  . Évalué à 10.

      HTML plutôt qu'en PHP

      mdr, en attendant, il reste difficile d'acceder à une base de données avec HTML.
      Quant au niveau de sécurité face a XSS ça dépend pas du langage mais de l'application que tu développes. Beau troll sinon :)
    • [^] # Re: Document très intéressant....

      Posté par  . Évalué à 6.

      puré, quand je lis ce commentaire, je me dis que j'ai raté qq chose, moi qui pensais que php était plus securisé que ASP. Bon sang, mais j'ai raté qq ou quoi.

      bon c quoi finalement ce pb de XSS ? oui j'ai deja entendu parler de scrips php mal ecris, ou il faut prendre garde a toutes les données provenant de l'exterieur, qui peuvent prendre des formes malicieuse. Une option tres sympatique dans les scripts perl permet non pas de s'affranchir de ces problemes, mais d'etre averti, si le code manipule des données qui peuvent etre corrompues.

      On va tout de meme pas se mettre a faire des pages stritement statiques.

      Ca me fait penser a la pub de Oracle qui pretend que ses logiciels ne peuvent pas véhiculer de virus et qu'ils sont garantis sans bug. Ca ressemble un peu a de la publicité mensongères. Cette publicité ventait les mérite de leur messagerie, basée on le devinera sur leur systeme de base de données. Est-ce que qq ici aurait l'audace de dire, ma messagerie réalisée en php+mysql est 100% réalisée avec des logiciels non Microsoft, donc completement différente du principal vecteur de virus (Outlook Expres, et I2S) donc sans faille exploitable.

      J'avais trouvé sur Internet un petit guide qui expliquait les failles possible de php+mysql.

      Genre, faire une requette sql adjacente, séparé par un point-virgule ; c'est un bug trouvé dans phpnuke. Faudrait remettre la main sur ce document.
    • [^] # Re: Document très intéressant....

      Posté par  . Évalué à 9.

      N'importe quoi... Y a peut être eu 2 ou 3 alertes de sécu graves en 2001 pour PHP alors pas secure... Evidemment, comme tous les langages, si t'écris n'importe quoi ce sera pas trop sécure.

      Quand à developper en HTML au lieu de PHP, je pense que tu dois parler d'un truc que tu ne comprends pas. PHP est un pré processeur qui génére du HTML, donc on développe pas en PHP *ou* HTML mais forcément en HTML. Des browsers qui lisent du php natif, j'en connais pas encore. Maintenant si t'arrives a faire en HTML pur ce qu'on peut faire en PHP, bravo.
      • [^] # Re: Document très intéressant....

        Posté par  . Évalué à 5.

        Tout à fait OK avec toi.
        Le Php permet de créer des pages en html, avec contenu interactif et dynamique.
        "Programmer"... Moi je n'ai jamais "programmé" en HTML, j'ai juste mis en forme du texte au travers de tags HTML, ce qui permet d'avoir que du contenu statique.
        Tu peux toujour le rendre un peu plus dynamique grâce à du javasctipt, ou tout autre langage, mais le HTML, reste un langage de mise en forme...
  • # Très très mauvais article !!!

    Posté par  (site web personnel) . Évalué à 4.

    Je ne connaissais pas du tout le concept de Cross Site Scripting, et ce n'est pas cette FAQ qui m'a aidé. Plus précisément, la réponse à What is cross-site scripting? est vraiment confuse, et il faut se taper le reste de la FAQ pour s'en faire une bonne idée. Et encore...

    Le deux autres liens donnés dans les commentaires (cf. l'encadré Liens proposés) sont nettement meilleurs, en englais comme en français.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.