XSS me

Inconnu · 3 février 2011 à 18:05

Bonjour, j'ai deja eu un probleme avec des bots sur mon site, j'ai mis un système de captcha, il y a l'anti bot de franceserv, mais des fichiers sont apparus dans mon dossier "idprog" de "s-y-s.franceserv.com", je ne peux pas les supprimer, pouvait vous le faire ? (et aussi m'aider a corriger le probleme ?)

Franceserv · 3 février 2011 à 18:31

Bonjour,

Ce dossier est rempli de fichiers avec des noms de commandes JavaScript pour exploiter des failles XSS. Ces fichiers ont été créent par l'intermédiaire de votre site ou via CSRF. Je vois qu'il y a eu également des injections SQL.

C'est dû à un mauvais développement PHP et à la non utilisation (semble t'il) de commandes telles que htmlentities() pour contrer le XSS ou mysql_real_escape_string() pour les injections SQL.

Ces fichiers sont supprimables depuis votre FTP comme il vous appartiennent et qu'ils sont en chmod 666. Je supprime les fichiers les plus évidents mais il vas falloir de votre coté sérieusement revoir votre développement.

Inconnu · 3 février 2011 à 18:35

Désolé, mais htmlspecialchars est utilisé partout, et je n'utilise pas de BDD, je ne vois vraiment pas d'ou ca vient...

Franceserv · 3 février 2011 à 19:12

Il vas alors falloir tracer ce que font vos internautes à l'aide de fichiers log, stocker les POST qui sont invisibles dans les journaux systèmes et demander à une personne de tester votre site en essayant les failles possibles. Un site sécurisé c'est un site où son webmestre est fainéant, où les sécurités sont exécutées une seule fois au début du site (et pas en utiliser partout car ca augmente le risque d'erreur).

Après il ne faut pas se fier entièrement aux captcha, voici un exemple :

Sur une mailing list, une personne a demandé pourquoi il n'arrivait pas à passer le captcha suivant :

Il avait beau saisir "pui37" mais ca ne passait pas. Alors plusieurs personnes ont dit qu'il ne fallait pas lire un I mais un R. Une de ces personnes a même fait ceci :

Code : Tout sélectionner

convert -threshold 60% test.png testovh.jpg
convert testovh.jpg testovh.tif
/usr/bin/tesseract testovh.tif ovh nobatch ovehache >/dev/null 2>&1
cat ovh.txt
pur37

Cette personne à trouvé le capcha avec uniquement des programmes.

Moralité : les robots arrivent mieux à lire certain captcha que les humains alors que c'est l'inverse qui est recherché.

Inconnu · 3 février 2011 à 19:25

Les failles ont été testé pendant 1 semaine il y a un mois, elles ont été corrigées, mais je ne vois pas comment des fichiers ont pu etre crées dans le dossier idprog sous le nom de "yugpiqugvs.txt" alors que les seuls fichiers a etres crées ici vienne de PostProg.php (Upload.php) et que le nom est ecrit par php sous la forme de 1.txt, ou 2.txt ... c'est etrange non ?

Franceserv · 3 février 2011 à 19:27

Ces fichiers étaient carrément des commande JavaScript avec des balises HTML, des alert(); etc ...

Inconnu · 3 février 2011 à 19:37

Mais c'est debile de faire ca non ?, puisque le nom du fichiers ("x.txt") n'est jamais affiché

Franceserv · 3 février 2011 à 19:51

Les robots ne sont pas non plus intelligents

Ils sont seulement plus puissants et ne se fatiguent jamais à la tâche.

Cookie	Description
PHPSESSID	Ce cookie est natif des applications PHP. Ce cookie est utilisé pour stocker et identifier l'ID de session unique d'un utilisateur dans le but de gérer la session utilisateur sur le site Web. Ce cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées.
SRVNAME	Ce cookie permet de stabiliser l’affectation du nœud Web derrière le mécanisme de répartition de charges Web.
VIEWED_COOKIE_POLICY COOKIELAWINFOCONSENT COOKIELAWINFO-CHECKBOX-NECESSARY COOKIELAWINFO-CHECKBOX-ANALYTICS COOKIELAWINFO-CHECKBOX-PREFERENCES	Ces cookies sont définis par le mécanisme de consentement RGPD des cookies et sont utilisés pour conserver le consentement ou non de l'utilisateur des cookies. Il n'y a aucune données personnelles dans ces cookies et ils permettent de mémoriser un éventuel refus.
PMA_LANG_HTTPS PHPMYADMIN_HTTPS PMAUSER-1_HTTPS	Cookies liés avec l'outils PhpMyAdmin lorsque le client est connecté sur son espace client.
PHPPBB3_S1W4X_K PHPPBB3_S1W4X_U PHPPBB3_S1W4X_SID	Cookies liés avec les forums PhpBB3 de FranceServ Hébergement.

Cookie	Description
login	Ce cookie permet de mémoriser sur le navigateur, un jeton d'authentification automatique pour le client lorsqu'il le décide. Ce cookie est chiffré et est rattaché au navigateur Internet et à la connexion Internet lors de sa création. Ce cookie devient invalide au bout de 30 jours.
otp	Ce cookie est utilisé pour authentifier automatiquement le client à son gestionnaire par la double authentification, ce jeton d’authentification est valide pendant maximum 30 jours lorsque le client le décide. Ce cookie est chiffré et est rattaché au navigateur Internet et à la connexion Internet lorsqu’il a été crée et sera automatiquement supprimé lorsque c’est nécessaire.

N'hésitez pas à découvrir nos services et à nous contacter, nous vous répondrons rapidement.

Forum

XSS me

Partenaire