Membres
CSS ou Cross Site Scripting
CSS ou Cross Site Scripting
CSS ou Cross Site ScriptingCe tutoriel a pour but d\'expliquer la faille XSS (ou CSS ou Cross Site Scripting), en quoi elle consiste et comment elle peut être utilisée, afin de comprendre mieux sa sécurisation.  La sécurisation est bien sûr beaucoup plus efficace si elle est comprise.Compréhension °°°°°°°°°°°°° Le XSS consiste en l\'injection (et l\'execution), le plus souvent de script du type javascript, html, vbscript... L\'execution ne se fait pas par le serveur mais par l\'utilisateur. Il existe deux sortes de XSS : le permanent et le non-permanent. Le deuxième est le moins dangereux car il nécessite une préparation pour faire visiter une url par la victime (Social Engineering). Car en effet c\'est le plus souvent par le biais d\'une url que le XSS non-permanent est utilisé. Un exemple concret... Imaginons un page php permettant d\'afficher des articles. Un partie du code PHP pourrait être : ---------------- <? [...] echo \"<u>Titre : </u><br><br>$title\"; [...] ?> ---------------- pour afficher le titre de l\'article. Si la variable $title n\'est pas définie auparavant dans le script, un url pour afficher le titre d\'un article pourrait être : http://[website]/articles.php?title=14000%20nouveaux%20cas%20de%20sida%20par%20jour.&id=58 Le &id=58 c\'est pour faire plus réaliste mais ça n\'influence en rien sur la suite. Cette url afficherai donc dans la page html : Source et suite de ce tres bon petit tutoriels très important : http://www.phpsecure.info/v2/article/XSS.php écrit par sky Poster un commentaire sur cette article |
Nous - Plan du site - Informations légale - Contact - © Graphiks.net