Suis-je protégé des attaques XSS ?
XSSMan
-
XSSMan -
XSSMan -
Bonjour,
Je viens de mettre mon site Web en ligne. Ma page hello.html récupère en paramètre GET le nom de l'utilisateur (exemple : Toto) et affiche à l'écran « Bonjour Toto ».
(http)://monsiteweb/hello.html?prenom=toto
Code HTML retourné :
J'ai mis en place un filtrage des caractères < et > utilisés couramment pour faire des XSS.
Du coup, le guillemet " est remplacé par & quot; le signe < par & lt; et le signe > par & gt;
Est-ce suffisant pour que ma page ne soit pas vulnérable à des XSS ?
Merci.
Je viens de mettre mon site Web en ligne. Ma page hello.html récupère en paramètre GET le nom de l'utilisateur (exemple : Toto) et affiche à l'écran « Bonjour Toto ».
(http)://monsiteweb/hello.html?prenom=toto
Code HTML retourné :
<html><body>Bonjour toto</body></html>
J'ai mis en place un filtrage des caractères < et > utilisés couramment pour faire des XSS.
Du coup, le guillemet " est remplacé par & quot; le signe < par & lt; et le signe > par & gt;
Est-ce suffisant pour que ma page ne soit pas vulnérable à des XSS ?
Merci.
A voir également:
- Suis-je protégé des attaques XSS ?
- Protéger des cellules excel - Guide
- Copier texte pdf protégé - Guide
- Espace protégé word - Guide
- Avast me dit que je ne suis pas protégé ✓ - Forum Virus
- Votre ordinateur est surveillé et protégé - Forum Virus
4 réponses
Salut,
Au lieu de filtrer QUE les < > (si c'est ce que tu as fait).
Tu devrais encadrer ton GET pour qu'ils n'acceptent que les [a-zéè] vu qu'un prénom n'est composé que de ces caractères.
Après y a assez littérature sur le WEB pour savoir comment faire pour ne pas être trop vulnérable aux XSS.
Au lieu de filtrer QUE les < > (si c'est ce que tu as fait).
Tu devrais encadrer ton GET pour qu'ils n'acceptent que les [a-zéè] vu qu'un prénom n'est composé que de ces caractères.
Après y a assez littérature sur le WEB pour savoir comment faire pour ne pas être trop vulnérable aux XSS.
Bonjour Malekal_morte-
Merci de m'avoir répondu.
En fait, j'ai simplifié au max mon problème pour qu'il soit plus compréhensible.
Ce ne sera donc pas un prénom passé en GET, même si j'approuve ce que tu dis en termes de filtrage.
Je ne vois pas à l'heure actuelle de moyen de contourner cette protection, en ayant épluché une cinquantaine de ressources sur le sujet. Je cherche en vain N'IMPORTE QUELLE syntaxe qui me fera mentir et afficher un pop-up XSS.
Si tu as une idée...
Merci de m'avoir répondu.
En fait, j'ai simplifié au max mon problème pour qu'il soit plus compréhensible.
Ce ne sera donc pas un prénom passé en GET, même si j'approuve ce que tu dis en termes de filtrage.
Je ne vois pas à l'heure actuelle de moyen de contourner cette protection, en ayant épluché une cinquantaine de ressources sur le sujet. Je cherche en vain N'IMPORTE QUELLE syntaxe qui me fera mentir et afficher un pop-up XSS.
Si tu as une idée...