XSS me
-
- Cet utilisateur a supprimé son compte et n’existe plus.
- Messages : 6340
- Inscription : 29 décembre 2010 à 18:15
-
- Messages : 905
- Inscription : 2 avril 2010 à 20:14
Ce dossier est rempli de fichiers avec des noms de commandes JavaScript pour exploiter des failles XSS. Ces fichiers ont été créent par l'intermédiaire de votre site ou via CSRF. Je vois qu'il y a eu également des injections SQL.
C'est dû à un mauvais développement PHP et à la non utilisation (semble t'il) de commandes telles que htmlentities() pour contrer le XSS ou mysql_real_escape_string() pour les injections SQL.
Ces fichiers sont supprimables depuis votre FTP comme il vous appartiennent et qu'ils sont en chmod 666. Je supprime les fichiers les plus évidents mais il vas falloir de votre coté sérieusement revoir votre développement.
-
- Messages : 905
- Inscription : 2 avril 2010 à 20:14
Après il ne faut pas se fier entièrement aux captcha, voici un exemple :
Sur une mailing list, une personne a demandé pourquoi il n'arrivait pas à passer le captcha suivant :
Il avait beau saisir "pui37" mais ca ne passait pas. Alors plusieurs personnes ont dit qu'il ne fallait pas lire un I mais un R. Une de ces personnes a même fait ceci :
Code : Tout sélectionner
convert -threshold 60% test.png testovh.jpg
convert testovh.jpg testovh.tif
/usr/bin/tesseract testovh.tif ovh nobatch ovehache >/dev/null 2>&1
cat ovh.txt
pur37
Moralité : les robots arrivent mieux à lire certain captcha que les humains alors que c'est l'inverse qui est recherché.
-
- Cet utilisateur a supprimé son compte et n’existe plus.
- Messages : 6340
- Inscription : 29 décembre 2010 à 18:15
-
- Messages : 905
- Inscription : 2 avril 2010 à 20:14
-
- Messages : 905
- Inscription : 2 avril 2010 à 20:14