Discussion :

[Zoons]

Bonjour à tous,

Nous avons fait évalué un de nos site Internet par une firme de sécurité. Ce site doit être à un maximum sécurisé car beaucoup d'information y sont confidentiel. Dans l'un des problèmes ressortis de l'évaluation est le "Cross site Scripting"

Prenons par exemple le lien suivant.
http://www.website.com/WD100AWP/WD10...YNC_2141334312

Si l'on remplace cette ligne par
http://www.website.com/WD100AWP/WD100Awp.exe/CTX_2416-2-SQhbrigGky/nom_page/"><script>alert('Cross Site Scripting')</script>

On se retrouve avec un script qui est exécuté.

Y as-t-il moyen d'empêcher ce genre de truc ?

Deplus WB10 affiche des informations sur l'objet demandé lorsque qu'une erreur survient. (Ex : Nom de page) Y a-t-il moyen d'enlever toute ces informations ?

Une autre chose également, cette fuite d'information sur l'architecture du serveur et du site se passe dans le code source de certaine parge

Ex:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
GET /WD100AWP/WD100AWP.EXE/CTX ..../nom_page HTTP/1.1
Referer : https://www.nomsite.com:443/.....
Cookie: CustomCookie=WebInspect...

Les principales lignes qui me chicotte sont celles du cookie et du GET.

Quelqu'un pourrait m'aider à ce sujet ?

Daniel