Un exemple basique d'une faille XSS sur $_SERVER

Par j0k le vendredi 09 mars 2007, 10:02 dans développement - 12291 vues

Les failles XSS sont les failles qui sont le plus à redouter en ce moment.
L'exécution de code JavaScript par injection chez le client permet notamment de récupérer de précieux cookie et autre. L'exemple ici peut être assez courant si le développeur n'est pas assez attentionné sur le code qu'il produit.

La technique s'applique sur la superglobale PHP : $_SERVER et notamment sur la valeur de $_SERVER['PHP_SELF'] (qui renvoie le nom du script exécuté) qui est très souvent utilisé dans les formulaires.

Julien Pauli vous explique comment exploiter la faille et évidemment comment vous en protéger.

18 commentaires en tout !

1. xss le vendredi 15 janvier 2010, 20:23 #permalien
xss

alert("test pour voir si sa marche")

2. alors ? sa marche ? le mardi 06 juillet 2010, 21:23 #permalien
alors ? sa marche ?

alert("hacked")

3. hacked le vendredi 09 juillet 2010, 05:12 #permalien
hacked

alert(hacked)

4. LOL le dimanche 10 avril 2011, 16:14 #permalien
LOL

alert(1)

5. xss le jeudi 14 avril 2011, 10:48 #permalien
xss

alert("test pour voir si sa marche")

6. xss le jeudi 14 avril 2011, 15:47 #permalien
xss

XSS

7. lol le jeudi 19 mai 2011, 16:42 #permalien
lol

alert("bonjour")

8. lol le jeudi 19 mai 2011, 16:44 #permalien
lol

alert("bonjour")

9. lol2 le jeudi 19 mai 2011, 16:50 #permalien
lol2

alert('bonjour')

10. sebgeek le samedi 25 juin 2011, 16:38 #permalien
sebgeek

echo('hello world')

11. lol3 le mercredi 07 décembre 2011, 15:21 #permalien
lol3

\> XSS me

12. tme le jeudi 19 juillet 2012, 20:08 #permalien
tme

alert(HACKED BY TMR);

13. toto le mardi 06 novembre 2012, 14:21 #permalien
toto

alert('bonjour')

14. adelos le mercredi 13 mars 2013, 14:16 #permalien
adelos

alert('Hacked by Adelos')

15. adelos le mercredi 13 mars 2013, 14:16 #permalien
adelos

alert('Hacked by Adelos')

16. adelos le mercredi 13 mars 2013, 14:17 #permalien
adelos

alert("Hacked by Adelos")

17. Test le lundi 29 juillet 2013, 19:33 #permalien
Test

alert("Hacked by Adelos")

18. Test le lundi 29 juillet 2013, 19:33 #permalien
Test

alert("Hacked by Adelos")

Pensez à vous inscrire !

  • C'est rapide
  • Utiliser votre compte Facebook
  • Ou votre Open ID
Laisser un commentaire





Catégories


Tags


Liens