Discussion :

[Zoons]

Bonjour à tous,

Nous avons fait évalué un de nos site Internet par une firme de sécurité. Ce site doit être à un maximum sécurisé car beaucoup d'information y sont confidentiel. Dans l'un des problèmes ressortis de l'évaluation est le "Cross site Scripting"

Prenons par exemple le lien suivant.
http://www.website.com/WD100AWP/WD10...YNC_2141334312

Si l'on remplace cette ligne par
http://www.website.com/WD100AWP/WD100Awp.exe/CTX_2416-2-SQhbrigGky/nom_page/"><script>alert('Cross Site Scripting')</script>

On se retrouve avec un script qui est exécuté.

Y as-t-il moyen d'empêcher ce genre de truc ?

Deplus WB10 affiche des informations sur l'objet demandé lorsque qu'une erreur survient. (Ex : Nom de page) Y a-t-il moyen d'enlever toute ces informations ?

Une autre chose également, cette fuite d'information sur l'architecture du serveur et du site se passe dans le code source de certaine parge

Ex:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
GET /WD100AWP/WD100AWP.EXE/CTX ..../nom_page HTTP/1.1
Referer : https://www.nomsite.com:443/.....
Cookie: CustomCookie=WebInspect...

Les principales lignes qui me chicotte sont celles du cookie et du GET.

Quelqu'un pourrait m'aider à ce sujet ?

Daniel

[Emmanuel Lecoester]

Si vous avez découvert une faille dans la gestion des pages web WB, le mieux est de contacter l'éditeur directement.

[Zoons]

C'est déjà fait.

Et toujours pas de réponse encore.

[thanathz]

Je suis encore trop débutant en Webdev pour être ferme et définitif, mais je ne suis pas persuadué qu'on puisse avoir une totale maitrise de ce genre de choses sous WB.

Peut-être faut-il voir avec la gestion d'exception sur l'ensemble des pages...

[Nicolas.Boonaert]

A première vue, puisque PC Soft gère pas mal d'événement de clic en JS...on pourrait imaginer que cette possibilité expose une faille.

Il faudrait creuser davantage, mais je pense qu'il existe bien d'autres moyens d'exploiter un site Webdev, surtout que là, ce qui est possible de faire est principalement orienté client-side...

[ner0lph]

Les principales lignes qui me chicotte sont celles du cookie et du GET.

Le cookie peut être accepté ou non par le navigateur.
Le GET est essentiel : c'est lui qui permet de demander au serveur de t'envoyer la page ! (protocole HTTP)

Sinon, utilise SSL/HTTPS + certificat (inutile de demander à une "autorité de certification" si tu le fais toi-même) pour chiffrer les communications entre le client et ton site sur le serveur.