Discussion :

[Lanfear]

Bonjour,
Je dois sécurisé un site dont j'ai repris la maintenance et je dois donc m'attaquer au problème de "cross-site scripting".
Le site étant un peu vieux (codé en PHP4) et mal organisé mais n'ayant pas pour but de le refaire entièrement, je voulais regarder coté Apache pour gérer ce problème.

En gros, je voudrais que lorsque je detecte la chaine "<script" dans une url (chaine qui serait passait en POST dans un champ de formulaire), celle-ci soit encodé pour ne pas être interprété sur le site.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
'>"><_script_>_alert(document.cookie)_</_script_>
==> SANS LES _ (je ne peux pas poster le message si je les enlève) :aie:

Exemple, actuellement si dans un champ de formulaire je mets la chaine précédente, la page résultat me retourne dans un jolie pop-up les informations de cookie de la page.

J'ai essayé par un .htaccess mais sans résultat:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteEngine On
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC]
RewriteRule (.*) - [F]

[_Mac_]

En POST, il n'y a aucun paramètre d'URL donc la query string est vide, donc la RewriteCond qui travaille sur %{QUERY_STRING} échoue.

Il faut gérer ça côté code PHP, c'est le plus sûr.

[Lanfear]

arf exact!!

Comment comprendre (et utiliser) RewriteCond %{REQUEST_METHOD} (GET|POST) alors ?

[_Mac_]

Ca veut dire "si la méthode de la requête est GET ou POST". Ca n'empêche pas que les paramètres ne sont pas accessibles via %{QUERY_STRING} avec une requête POST, et il n'y a pas de moyen standard pour qu'Apache aille chercher le corps d'une requête POST. Donc la seule solution c'est de faire un échappement dans le code PHP.

[Lanfear]

OK, merci pour la précision.

Je vais passer sur toutes les pages à la main