Problème de sécurité formulaire de contact
fleurette85
Messages postés
270
Date d'inscription
Statut
Membre
Dernière intervention
-
glodybiss Messages postés 440 Date d'inscription Statut Membre Dernière intervention -
glodybiss Messages postés 440 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai réalisé un site internet qui contient un formulaire de contact.
J'ai reçu aujourd'hui un message dans ma boite mail qui m'a été envoyé à partir de mon site qui contient :
ça veut dire quoi exactement ? est ce que c'est une attaque ?
Merci
J'ai réalisé un site internet qui contient un formulaire de contact.
J'ai reçu aujourd'hui un message dans ma boite mail qui m'a été envoyé à partir de mon site qui contient :
Pseudo : <script>alert(document.cookie);</script> Message : <script>alert(document.cookie);</script>
ça veut dire quoi exactement ? est ce que c'est une attaque ?
Merci
A voir également:
- Problème de sécurité formulaire de contact
- Whatsapp formulaire opposition - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Indemnités journalières de sécurité sociale - Guide
- Formulaire de réclamation facebook - Guide
- Mode securite - Guide
3 réponses
Salut,
Hélas, oui, c'est une attaque, mais qui ne fait rien en fait, rien de méchant.
Cela concerne les failles XSS.
Les gestionnaires des boites mails sont protégés contre ce genre d'attaques, mais si par exemple tu enregistrait tes messages dans une base de données, et que tu essayait d'afficher ce message la, alors ce n'est pas un texte que tu aurait lu, mais tu aurais plutôt vu une boite de dialogue qui se serait affiché.
Car c'est un code javascript qu'on t'as envoyé.
Donc pour y remédier, il existe des fonctions "htmlspecialchars" ou "htmlentities", donc tu dois appliquer l'une de ces deux méthodes pour protéger tes formulaires.
Sinon, c'est possible de créer une REGEX(expression régulière) pour interdire quelque caractères comme le "<" ou ">" ou même la taille de la chaîne reçu.
Mettez en résolu quand c'est résolu -.- ...
Hélas, oui, c'est une attaque, mais qui ne fait rien en fait, rien de méchant.
Cela concerne les failles XSS.
Les gestionnaires des boites mails sont protégés contre ce genre d'attaques, mais si par exemple tu enregistrait tes messages dans une base de données, et que tu essayait d'afficher ce message la, alors ce n'est pas un texte que tu aurait lu, mais tu aurais plutôt vu une boite de dialogue qui se serait affiché.
Car c'est un code javascript qu'on t'as envoyé.
Donc pour y remédier, il existe des fonctions "htmlspecialchars" ou "htmlentities", donc tu dois appliquer l'une de ces deux méthodes pour protéger tes formulaires.
Sinon, c'est possible de créer une REGEX(expression régulière) pour interdire quelque caractères comme le "<" ou ">" ou même la taille de la chaîne reçu.
Mettez en résolu quand c'est résolu -.- ...
si tu recupères tes données avec du cope PHP: essaye ces variantes et choisi ce qui te convient:
echo htmlentities($str);
echo htmlspecialchars($str);
echo strip_tags($str);
PS: attendion lors de l'enregistrement de données dans une Base de donnée:
Fais attentions a ce que tu enregistres
pense À utiliser par exemple:
mysql_real_escape_string($nom);
...
par exemple:
https://www.php.net/manual/de/function.mysql-real-escape-string.php
echo htmlentities($str);
echo htmlspecialchars($str);
echo strip_tags($str);
PS: attendion lors de l'enregistrement de données dans une Base de donnée:
Fais attentions a ce que tu enregistres
pense À utiliser par exemple:
mysql_real_escape_string($nom);
...
par exemple:
https://www.php.net/manual/de/function.mysql-real-escape-string.php
