Concernant mon script, en exécutant le lien avec les paramètres indiqué, le défaut d'affichage se produit bien. Il y a donc un soucis dans mon code. D'où ma demande de conseils sur quelle lib utiliser pour parer les attaques (traitements des paramètres).
J'ai installé une version vierge de wordpress, il y a des erreurs Xss Get et Post. Là part, il s'agit peut être de ce que vous qualifiez de faux positif.
Cela renvoie sur des pages genre direction
The requested URL /wordpress/s=alert('w93gzd56v3') was not found on this server.
Si c'est un faux positif, merci de me confirmer, je génèrerais le ticket tel demandé
Merci pour ce travail, qui m'a trouvé des failles XSS evil là où d'autres n'en avaient pas trouvé.
J'avais utilisé les préconisations htmlentities ENT_QUOTE, strip_tag, html special chars de php. (avec encodage utf-8 bien précisé dans le meta du html).
Il me trouve même des failles si j'utilise le filtre Xss de Drupal ( bhttps://github.com/ymakux/xss ) ou xss_clean function.
J'ai même testé un site sous wordpress (à jour) qui ne passe pas les tests (pas qu'à cause d'extensions).
N'étant pas pro du dev web, auriez-vous une référence complète sur le sujet en matière de protection de script php afin de parer toutes les failles xss (librarie (plutot que de réinventer la roue..) , doc.. ) ?
[^] # Re: Merci
Posté par silenus . En réponse à la dépêche Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web. Évalué à 1.
Concernant mon script, en exécutant le lien avec les paramètres indiqué, le défaut d'affichage se produit bien. Il y a donc un soucis dans mon code. D'où ma demande de conseils sur quelle lib utiliser pour parer les attaques (traitements des paramètres).
J'ai installé une version vierge de wordpress, il y a des erreurs Xss Get et Post. Là part, il s'agit peut être de ce que vous qualifiez de faux positif.
Cela renvoie sur des pages genre direction
The requested URL /wordpress/s=alert('w93gzd56v3') was not found on this server.
Si c'est un faux positif, merci de me confirmer, je génèrerais le ticket tel demandé
# Merci
Posté par silenus . En réponse à la dépêche Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web. Évalué à 4.
Bonjour.
Merci pour ce travail, qui m'a trouvé des failles XSS evil là où d'autres n'en avaient pas trouvé.
J'avais utilisé les préconisations htmlentities ENT_QUOTE, strip_tag, html special chars de php. (avec encodage utf-8 bien précisé dans le meta du html).
Il me trouve même des failles si j'utilise le filtre Xss de Drupal ( bhttps://github.com/ymakux/xss ) ou xss_clean function.
J'ai même testé un site sous wordpress (à jour) qui ne passe pas les tests (pas qu'à cause d'extensions).
N'étant pas pro du dev web, auriez-vous une référence complète sur le sujet en matière de protection de script php afin de parer toutes les failles xss (librarie (plutot que de réinventer la roue..) , doc.. ) ?
Merci.