[Sécurité] Taille minimum d'une chaine pour lancer une attaque XSS?

ShinJava · 06/04/2006, 09h41

Bonjour tout le monde,
Vous avez bien dormi

?

Je me renseigne depuis quelques temps sur les attaques XSS et apparemment le Javascript y ai pour beaucoup.
Le problème est que j'ai une connaissance très maigre en Javascript et pour une question de sécurité j'aimerais filtrer certaine donnée en considérant leur taille (en caractères).

Alors le script le plus court que j'ai trouvé est de 27 caractères :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert('');</script>

Très inoffensif bien sur

J'aimerais savoir s'il y a des injections XSS plus court ? et aussi
éclaircissement la taille minimum d'un script XSS considéré comme dangereux.

Merci d'avance pour cette éclaircissement.

++
ShinJava

Les raisons pour laquelle je pose ma question ici sont :
1/ mon filtre est codé en PHP.
2/ La majorité des sites traitant du XSS, propose des solutions en PHP (htmlspecialchars( ) par exemple)
3/ J'aurais pu poster dans le forum Javascript mais je ne sais pas si les attaques XSS se font uniquement en JavaScript (j'ai pas trouvé d'autres exemple)

Donc si jamais mon message était dans la mauvaise section du forum, je m'en excuse et vous pouvez bien évidemment le déplacer, ou bien je le ferais, il n'y a aucun problème.

macbook · 06/04/2006, 09h44

J’ai envi de te répondre que la taille ne compte pas…

C’est le filtrage surtout.

ShinJava · 06/04/2006, 11h57

Citation:

Envoyé par macbook

J’ai envi de te répondre que la taille ne compte pas…

C’est le filtrage surtout.

En fait, c'est juste pour adapter mes besoins et eviter de faire un appel à htmlspecialchars( ) inutilement.
Si par exemple on accepte une variable inférieur a 20 caractères mais qu'il existe une attaque XSS necessitant de 18 caractères, je suis obligé de mettre un htmlspecialchars.
Alors que si le minimum requis est de 27 caracteres pour une attaque XSS, c'est pas la peine d'utiliser un htmlspecialchars(), au minimum je pourrais interdire les caracteres < et >.
C'est sur, tout est question de filtrage mais bon je voulais quand même savoir la taille minimum pour une attaque XSS

++
ShinJava

06/04/2006, 09h41	#1
ShinJava Membre confirmé Inscription : septembre 2004 Messages : 411 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 411 Points : 287 Points : 287	[Sécurité] Taille minimum d'une chaine pour lancer une attaque XSS? Bonjour tout le monde, Vous avez bien dormi ? Je me renseigne depuis quelques temps sur les attaques XSS et apparemment le Javascript y ai pour beaucoup. Le problème est que j'ai une connaissance très maigre en Javascript et pour une question de sécurité j'aimerais filtrer certaine donnée en considérant leur taille (en caractères). Alors le script le plus court que j'ai trouvé est de 27 caractères : Code : Sélectionner tout - Visualiser dans une fenêtre à part <script>alert('');</script> Très inoffensif bien sur J'aimerais savoir s'il y a des injections XSS plus court ? et aussi éclaircissement la taille minimum d'un script XSS considéré comme dangereux. Merci d'avance pour cette éclaircissement. ++ ShinJava Les raisons pour laquelle je pose ma question ici sont : 1/ mon filtre est codé en PHP. 2/ La majorité des sites traitant du XSS, propose des solutions en PHP (htmlspecialchars( ) par exemple) 3/ J'aurais pu poster dans le forum Javascript mais je ne sais pas si les attaques XSS se font uniquement en JavaScript (j'ai pas trouvé d'autres exemple) Donc si jamais mon message était dans la mauvaise section du forum, je m'en excuse et vous pouvez bien évidemment le déplacer, ou bien je le ferais, il n'y a aucun problème.
	00

06/04/2006, 09h44	#2
macbook Membre émérite Inscription : février 2006 Messages : 840 Détails du profil Informations forums : Inscription : février 2006 Messages : 840 Points : 924 Points : 924	J’ai envi de te répondre que la taille ne compte pas… C’est le filtrage surtout.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email