PHPfrance

la communauté d'entraide francophone dédiée au PHP

Se proteger des attaques XSS

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Se proteger des attaques XSS

Re: Se proteger des attaques XSS

par rimie » 27 févr. 2013, 09:58

merci a vous

Re: Se proteger des attaques XSS

par niuxe » 23 févr. 2013, 15:30

Non, c'est de la poudre aux yeux. Des attaques XSS n'ont aucune influence sur le serveur - "protéger" une URL n'a absolument aucun sens.
:lol:
La détection de la présence d'une faille XSS peut se faire par exemple en entrant un script Javascript dans un champ de formulaire ou dans une URL :
http://fr.wikipedia.org/wiki/Cross-site_scripting
;)
Les attaques XSS sont de l'injection de code CSS
:lol:

htmlspecialchars est une protection basique. A elle seule, cela ne suffit pas. ;)

Re: Se proteger des attaques XSS

par Perine » 21 févr. 2013, 23:59

Non, c'est de la poudre aux yeux. Des attaques XSS n'ont aucune influence sur le serveur - "protéger" une URL n'a absolument aucun sens. Les attaques XSS sont de l'injection de code HTML/JavaScript/CSS sur le client afin de récupérer, par exemple les cookies d'un utilisateur. On se protège contre les attaques XSS en échappant les caractères spéciaux de l'HTML. En PHP avec la fonction htmlspecialchars().
Dans ton cas, le problème doit être plus profond et provenir d'une faille dans une de tes applications, du vol de ton mot de passe FTP (si jamais tu n'utilises pas SFTP ou FTPS).

Re: Se proteger des attaques XSS

par rimie » 20 févr. 2013, 01:43

merci niuxe

Re: Se proteger des attaques XSS

par niuxe » 19 févr. 2013, 22:15

Salut,

1. Dans l'url tu exclus :
<script ....>

2. Je t'invite à lire un vieux post que j'avais écrit sur php France : proteger une query string. Dans l'exemple que j'avais mis, c'était un md5. Le md5 n'est pas une super protection : au hasard dans google. Si tu as des questions, n'hésite pas.

3. le mieux est que tu réécris tes urls

Se proteger des attaques XSS

par rimie » 19 févr. 2013, 16:25

Bonjour,

J'ai lus le log du serveur, j'ai un seul site sur le serveur et j'ai trouve des codes <script> qui etaient ecrit sur l'url, maintenant le serveur est down (Server not found), mais je peux acceder en SSH, comment resoudre ce probleme (rendre le site disponible), et comment se proteger des attaques XSS sur l'URL??

exemple du log:

Code : Tout sélectionner

[Tue Feb 19 14:32:24 2013] [error] [client IP_ATTACKER] File does not exist: /home/domaine/www/666\n\n<script>alert('Vulnerable');< [Tue Feb 19 14:35:50 2013] [error] [client IP_ATTACKER] Invalid URI in request GET shopdisplayproducts.asp?id=1&cat=<script>alert(document.cookie)</script> HTTP/1.1
Merci a vous