Discussion :

[MisterHobbes]

Bonjour,


Je suis actuellement en cours de création d'un site Web et je me penche sur la partie sécurité. Je sais comment faire des attaques par injections, XSS, javascript et autres j'en connais donc la dangerosités.

Alors j'ai fait des recherches sur le net pour voir s'il n'existe pas des framework qui permet de facilité les echappements des saisies utilisateurs (selon les caractères, le type d'encodage, le \n ou autres)

Mais je n'ai rien trouvé de concluant !! aucune capitalisation ...

Comment faites-vous pour proteger vos sites de ces attaques ? vous avez connaissance de framework ?

Merci pour vos infos
Ben

[demanghonj]

Pour ces attaques il y a plusieurs chose:

injection SQL: comme cela concerne la base de données tu dois utiliser les paramètres JDBC qui vont échapper les chaines saisies au moment de ta requête SQL.

pour les attaques javascript tu as deux solutions:

- Utiliser un ServletFilter qui va s'occuper d'echapper tout le javascript ou le HTML qui passe dans les données su POST ou du GET.

- sinon tu les échappes à la restitution de l'information (après ca dépend du framework web que tu utilises)

Sinon tu as aussi la classe StringEscapeUtils de la librairie apache commons qui a des méthodes utilitaires pour échapper des chaines de caractères en fonction de ce que tu souhaites (SQL, HTML, javascript, ...)