Bonjour à tous,
Nous avons fait évalué un de nos site Internet par une firme de sécurité. Ce site doit être à un maximum sécurisé car beaucoup d'information y sont confidentiel. Dans l'un des problèmes ressortis de l'évaluation est le "Cross site Scripting"
Prenons par exemple le lien suivant.
http://www.website.com/WD100AWP/WD10...YNC_2141334312
Si l'on remplace cette ligne par
http://www.website.com/WD100AWP/WD100Awp.exe/CTX_2416-2-SQhbrigGky/nom_page/"><script>alert('Cross Site Scripting')</script>
On se retrouve avec un script qui est exécuté.
Y as-t-il moyen d'empêcher ce genre de truc ?
Deplus WB10 affiche des informations sur l'objet demandé lorsque qu'une erreur survient. (Ex : Nom de page) Y a-t-il moyen d'enlever toute ces informations ?
Une autre chose également, cette fuite d'information sur l'architecture du serveur et du site se passe dans le code source de certaine parge
Ex:
Les principales lignes qui me chicotte sont celles du cookie et du GET.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4 GET /WD100AWP/WD100AWP.EXE/CTX ..../nom_page HTTP/1.1 Referer : https://www.nomsite.com:443/..... Cookie: CustomCookie=WebInspect...
Quelqu'un pourrait m'aider à ce sujet ?
Daniel
Partager