failles xss php

[harominc]

bonjour,

je suis en train de lire le cours sur php de openclassroom et jen suis arrivé a un passage qui parle de la faille xss. Il est dit : "Outre le fait qu'il peut insérer n'importe quel code HTML (dans un formulaire)(et rendre votre page invalide), ce qui n'est pas le plus grave, il peut aussi ouvrir des balises de type<script>pour faire exécuter du code JavaScript au visiteur qui visualisera la page !

Code PHP:

<p>Je sais comment tu t'appelles. Tu t'appelles <script type="text/javascript">alert('Badaboum')</script> !</p> 


"

mais pourquoi ce serait tous les visiteurs qui verraient le message "badaboum" et pas uniquement celui qui insert le script?

merci
-----

[informateurYoutube]

Bonjour,

si tu modifies le HTML que tu as obtenu par une requête HTTP GET alors effectivement la modification s'effectue uniquement côté client donc celui qui modifie le HTML (en insérant un script dans le cas présent). Mais si tu insers des éléments dans un POST HTTP, la modification s'effectue côté serveur et selon l'implémentation d'autres clients pourraient ensuite obtenir le HTML modifié avec un GET HTTP.

[harominc]

salut,

je ne suis pas sur de comprendre, par exemple avec le code source coté serveur suivant:

Code PHP:

<p>Je sais comment tu t'appelles. Tu t'appelles <?php echo $_POST['prenom']; ?> !</p>

si dans le formulaire de la page web j'écris <strong>Badaboum</strong> alors ca n'aura pas modifier mon code source et pourtant c'est bien un POST .

[Ikhar84]

Dans le cas d'une page qui affiche:

Code PHP:

echo "bonjour $prenom"; 


Où $prenom aura pour valeur ici

Code PHP:

$prenom = POST_["prenom"];
//$login = "<strong>badaboum</strong> 


Cela n'aura d'impact que pour vous...
Chaque utilisateur aura "sa propre page personnalisée"...
Donc pas trop utile, sauf à vouloir être banni du forum

Maintenant imaginons une page qui récapitule le prénom des membres dont c'est l'anniversaire ...
(Vu quelque part )
Et imaginons que, au lieu de ce petit bout de code innocent vous ayez injecté, comme prénom, un appel à un script javascritp au survol du prénom, ou mieux au chargement ...
Un petit script qui pourrait renvoyer vers un site malveillant, idéalement très ressemblant au site actuel, ou qui téléchargerait à votre insu un petit logiciel malveillant...
Ce ne sont que quelques exemples, qui ne devrait plus être exploitable à ce jour, d'autre sont bien plus vicieux...

[A voir en vidéo sur Futura]

[harominc]

D'accord, donc dans l'exemple du cours de openclassroom que j'ai cité, ce qui est dit est faux? Puisque le script naurait pas d'impact sur les autres dans ce cas la

[informateurYoutube]

Oui en effet dans ce cas là cela n'a pas d'impact sur les autres, mais l'idée générale est que avec un POST on peut envoyer un script au serveur, ensuite le serveur il en fait ce qu'il veut soit il l'affiche que pour l'utilisateur qui a envoyé le script, soit il s'en sert pour éditer une page accessible par d'autres utilisateurs comme le montre bien l'exemple de Ikhar84.

Comme en ce moment je rédige ce message, je l'envoie au serveur, puis le serveur édite cette page avec mon message et vous pouvez tous accéder à la page modifiée, donc je pourrais esssayer d'envoyer un script mais je pense que ce serveur est résistant aux attaques XSS, enfin j'espère haha =D

[Ikhar84]

Non ce n'est pas faux, mais l'utilité malveillante est forcement réduite dans ce cas.
Pour la rendre sérieuse, il faudrait une persistance de l'attaque (en base de donnée par exemple), et une faille dans le site qui donne accès à d'autres utilisateur l'execution du code malveillant: liste des membres,livre d'or...

Bien entendu il s'agit ici de cas triviaux...
On ne peut donner de réelles infos permettant d'exploiter ces failles, ni ici, ni sur openclassroom, mais plutôt des idées générales permettant de filtrer les entrées utilisateur, en montrant les risques pris si ces failles ne sont pas prises en comptes...

Sachant qu'un attaquant determiné arrivera toujours à ses fin, et saura s'adapter aux spécificités du site qu'il veut corrompre...

[harominc]

D'accord je comprend merci pour vos réponses.
Je rebondi juste sur ce que tu dis ikhar: "Sachant qu'un attaquant determiné arrivera toujours à ses fin, et saura s'adapter aux spécificités du site qu'il veut corrompre..."
De ce que j'ai pu lire, j'ai l'impression que pour chaque faille il y a un moyen de contrer la menace et de sécuriser la faille, alors même si on prend toute les précautions on est toujours susceptible de se faire hacker ?