Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

CoqBlog

.NET is good :-)
{ Blog de Gaël Covain }

Actualités

Oulaaa...Non, le XSS (Cross Site Scripting) n'est PAS une fonctionnalité !

Je viens de lire un post qui fait peur sur le blog de Michael Howard, où il parle d'une discussion qu'a eu Mark Curphey avec une équipe de développement :

Extrait du post de Mark Curphey :
"  When a customer development team was recently asked to use the AntiXSS library, validate input and encode output for their web interface they replied (and I quote) “we do not use cross site scripting”.  "

Ouch ! Le Cross Site Scripting n'est pas une fonctionnalité mais un type de faille de sécurité.

Je m'apercoit seulement maintenant qu'effectivement le nom peut prêter à confusion, surtout en ces temps d'aggrégation de données de sources différentes.

Du coup, n'étant pas vraiment qualifié pour parler en profondeur de ce genre de sujet vu l'amour débordant pour le développement web - surtout le côté client - que vous me connaissez : quelqu'un aurait sous la main de bons liens expliquant ce problème, que ce soit à destination des techniciens ou des non-techniciens ?

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: dimanche 2 mars 2008 18:37 par coq

Commentaires

VANNESTE Xavier a dit :

Le cross site scripting est une technique permettant d'inserer du code javascript ou html dans un site web par l'intermediaire d'un forum de discussion, d'un livre d'or ou d'un commentaire dans un blog bref tout input qui pourrait etre fait par un utilisateur. Ainsi on peut par exemple écrire un cookie avec une iframe provenant d'un autre site ce qui permettra de suivre la personne. On peut aussi faire une redirection, imaginez-vous aller voir un produit chez amazon et un des clients a mis dans un commentaire un javascript qui fait une redirection sur le meme produit à la fnac, voici du cross site scripting. N'essayez pas la plupart des sites empêchent cela :)

http://www.dotnet-tech.com/tutoriels/secu3/ voir page guestbook

# mars 2, 2008 19:02

coucou747 a dit :

XSS, c'est extremement vaste... ca consiste a detourner les donnees envoyees en POST ou GET aux pages, de facon a detourner l'utilisation normale du site...

on peut faire du vol d'informations a base de UNION SELECT en injectant du SQL, c'est un exemple classique, mais courrant...

on peut injecter du javascript dans des wysiwygs, ou des meta, de facon a rediriger ailleur, voir parfois, rediriger ailleur, en vollant des cookies, ce qui permet de voller un compte...

ca n'a rien d'une fonctionalite, c'est une erreur de developpement

# mars 2, 2008 19:18

Renfield a dit :

j'ai bien un bouquin qui en parle:

http://www.amazon.fr/Ecrire-du-code-s%C3%A9curis%C3%A9-Howard/dp/2100067508

# mars 2, 2008 23:14

heid a dit :

Le xss est aux page web ce que l'injection sql est aux bases de données.

ps : coq peux tu me donner un mail ou je peux te joindre (email moi à poubelleofjojo@gmail.com), je souhaiterai te contacter pour un sujet précis.

# mars 3, 2008 14:11
Les commentaires anonymes sont désactivés
Les 10 derniers blogs postés

- TechDays Paris 2010 : Déploiement de nouvelles technologies – Retour d’expérience par l’informatique de Microsoft par Blog Technique de Romelard Fabrice le il y a 23 minutes

- TechDays Paris 2010 : Plan de migration vers SharePoint 2010 par Blog Technique de Romelard Fabrice le il y a 4 heures et 6 minutes

- TechDays Paris 2010 : La pleinière du second jour par Blog Technique de Romelard Fabrice le il y a 5 heures et 11 minutes

- Visual Studio 2010 and .NET Framework 4 Release Candidate now available par Matthieu MEZIL le il y a 8 heures et 17 minutes

- Création d’une base de donnée sous SQL Azure par Le Blog (Vert) d'Arnaud JUND le il y a 9 heures et 14 minutes

- TechDays Paris 2010 : Les Services d’applications dans SharePoint 2010 par Blog Technique de Romelard Fabrice le il y a 19 heures et 13 minutes

- TechDays Paris 2010 : La GED et SharePoint 2010 par Blog Technique de Romelard Fabrice le il y a 23 heures et 11 minutes

- TechDays Paris 2010 : SharePoint 2010 et Les réseaux sociaux par Blog Technique de Romelard Fabrice le 02-08-2010, 15:40

- TechDays Paris 2010 : SharePoint 2010 – Description et nouveautés par Blog Technique de Romelard Fabrice le 02-08-2010, 14:33

- TechDays Paris 2010 : Pleinière Lundi par Blog Technique de Romelard Fabrice le 02-08-2010, 14:30