Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

CoqBlog

.NET is good :-)
{ Blog de Gaël Covain }

Actualités

Oulaaa...Non, le XSS (Cross Site Scripting) n'est PAS une fonctionnalité !

Je viens de lire un post qui fait peur sur le blog de Michael Howard, où il parle d'une discussion qu'a eu Mark Curphey avec une équipe de développement :

Extrait du post de Mark Curphey :
"  When a customer development team was recently asked to use the AntiXSS library, validate input and encode output for their web interface they replied (and I quote) “we do not use cross site scripting”.  "

Ouch ! Le Cross Site Scripting n'est pas une fonctionnalité mais un type de faille de sécurité.

Je m'apercoit seulement maintenant qu'effectivement le nom peut prêter à confusion, surtout en ces temps d'aggrégation de données de sources différentes.

Du coup, n'étant pas vraiment qualifié pour parler en profondeur de ce genre de sujet vu l'amour débordant pour le développement web - surtout le côté client - que vous me connaissez : quelqu'un aurait sous la main de bons liens expliquant ce problème, que ce soit à destination des techniciens ou des non-techniciens ?

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: dimanche 2 mars 2008 18:37 par coq

Commentaires

VANNESTE Xavier a dit :

Le cross site scripting est une technique permettant d'inserer du code javascript ou html dans un site web par l'intermediaire d'un forum de discussion, d'un livre d'or ou d'un commentaire dans un blog bref tout input qui pourrait etre fait par un utilisateur. Ainsi on peut par exemple écrire un cookie avec une iframe provenant d'un autre site ce qui permettra de suivre la personne. On peut aussi faire une redirection, imaginez-vous aller voir un produit chez amazon et un des clients a mis dans un commentaire un javascript qui fait une redirection sur le meme produit à la fnac, voici du cross site scripting. N'essayez pas la plupart des sites empêchent cela :)

http://www.dotnet-tech.com/tutoriels/secu3/ voir page guestbook

# mars 2, 2008 19:02

coucou747 a dit :

XSS, c'est extremement vaste... ca consiste a detourner les donnees envoyees en POST ou GET aux pages, de facon a detourner l'utilisation normale du site...

on peut faire du vol d'informations a base de UNION SELECT en injectant du SQL, c'est un exemple classique, mais courrant...

on peut injecter du javascript dans des wysiwygs, ou des meta, de facon a rediriger ailleur, voir parfois, rediriger ailleur, en vollant des cookies, ce qui permet de voller un compte...

ca n'a rien d'une fonctionalite, c'est une erreur de developpement

# mars 2, 2008 19:18

Renfield a dit :

j'ai bien un bouquin qui en parle:

http://www.amazon.fr/Ecrire-du-code-s%C3%A9curis%C3%A9-Howard/dp/2100067508

# mars 2, 2008 23:14

heid a dit :

Le xss est aux page web ce que l'injection sql est aux bases de données.

ps : coq peux tu me donner un mail ou je peux te joindre (email moi à poubelleofjojo@gmail.com), je souhaiterai te contacter pour un sujet précis.

# mars 3, 2008 14:11
Les commentaires anonymes sont désactivés
Les 10 derniers blogs postés

- [Perso] Découvertes estivales : Linux (Part I) par Le blog de FremyCompany le il y a 1 heure et 55 minutes

- [Refactoring] ReSharper pour Visual Studio 2010 (Preview) par Thomas Jaskula le il y a 16 heures et 31 minutes

- [Refactoring] Analyser vos exceptions avec ReSharper Exceptional par Thomas Jaskula le il y a 17 heures et 45 minutes

- SharePoint 2007 : patterns & practices SharePoint Guidance par Philippe Sentenac [MVP SharePoint] le 07-03-2009, 09:56

- [Visual Studio 2010] Les tests cases c’est bien, mais je vais devoir tout réécrire ? par Etienne Margraff le 07-03-2009, 09:00

- MVP[Gribouillon].AddYear par The Grib's Lair [Sébastien PICAMELOT - MVP SharePoint] le 07-03-2009, 08:45

- Clinique INSIA - Projet de fin d’Etudes (Silverlight 3 MVVM et OutOfBrowser, WCF, TFS) - Part 1 par David REI le 07-02-2009, 23:38

- C’est la crise ? Bah pourquoi cramer du budget pub alors ? par Nix's Blog le 07-02-2009, 15:31

- Soyons MVP ! par TheSaib .NET blog le 07-02-2009, 12:15

- SharePoint : Gestion des Erreurs 6398, 7076 et 6482 par Blog Technique de Romelard Fabrice le 07-02-2009, 11:53