Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
piratage par substitution de fichier .js
Bonjour,
quand une page web est demandé par le navigateur, celui-ci télécharge et garde dans son cache , les fichier html,css.... et les fichiers .js qui renferment des code javascripts.
peut-on substituer les fichiers .js par des tiers trafiqués portant le même nom?
Ce genre de piratage ou s'en approchant est-il possible. Si oui comment contrer ca ?
Merci d'avance
Bonjour,
Donc pour te repondre il faut d'abord que tu fasses bien la difference entre excution du coté client et execution du coté serveur.
Dans le cas cité on parle donc d'execution coté client
Donc effectivement le cas que tu cites est tout as fait probable, et cette vuln est generalement du a une faille XSS, donc comment eviter ce type de faille ?
Majoritairement en evitant les failles XSS.
Tu trouveras plus d'infos en premier lieu en lisant ceci http://fr.wikipedia.org/wiki/Cross-site_scripting et par la suite en cherchant a gauche et a droite
Bien cordialement
Disons que la question que je me pose ici:
Est ce qu'un internaute qui navigue sur un site ayant des noms de .js identiques à un autre site, alors les derniers remplaceront les précédents. Et donc si l'utilisateur revient sur le site précédent, ca ne sera pas les bons .js qui seront exécutés.
Franchement, je doute que cela se passe ainsi. Je crois qu'ils sont renommés genre mon.js[1] ou un truc du genre.
Par contre, ce que tu peux faire, modifies toi même à la main ton .js de ton cache eet vois ce que cela donne quand tu relances ta page web faisant appel à ce fichier javascript.
Bonjour,
En regardant le contenu de ton cache tu t'appercois que tout l'url est present et non le nom du fichier.
about:cache?device=disk
Met ca dans ton navigateur ( si c'est firefox) et tu verras
A+
Salut,
Je n'ai pas firefox sur mon poste actuel mais j'ai jeté un coup d'oeil dans le répertoire contenant le cache de IE.
En effet, à chaque fichier (js, jpeg, png etc...) est associé l'URL complète de provenance.
Par contre, je ne vois pas de quelle manière via une faille XSS tu comptes substituer le fichier .js par un autre. Je suis d'accord pour que l'on puisse charger un autre autre fichier .js, appeller des fonctions de ce .js, injecter du code HTML etc... mais modifier le chemin de provenance pour que le js injecté soit toujours exécuté lors d'une consultation web normal... Si tu peux éclairicir?
Bonjour,
Alors ca ne fonctionnera que au moment TLors du lancement de la XSS.
Apres une methode d'ecraser le cache humm je suis pas assez pointu en web pour ca et ca me semble exclu que l'on puisse faire ce genre de chose en JS mais a confirmé par un specialiste
A+
Cà je suis bien d'accord.Envoyé par spawntux
Alors ca ne fonctionnera que au moment T
Et cà, grosso modo, c'était mon interrogation du départ et je pense la question de l'initiateur du post.Apres une methode d'ecraser le cache humm je suis pas assez pointu en web pour ca et ca me semble exclu que l'on puisse faire ce genre de chose en JS mais a confirmé par un specialiste
Pour ma part, je ne pense pas que cela soit possible.
Moé ca question est pas super clairEt cà, grosso modo, c'était mon interrogation du départ et je pense la question de l'initiateur du post.
Pour ma part, je ne pense pas que cela soit possible.
Ok jusqua la je te suis
Je dirais que c'est possible oui a un moment Tpeut-on substituer les fichiers .js par des tiers trafiqués portant le même nom?
Donc effectivement c'est possible a un moment T, avec ce genre de faille je ne pense pas que ca sois la substitution de JS le plus interessantCe genre de piratage ou s'en approchant est-il possible. Si oui comment contrer ca ?
Merci d'avance
Ensuite pour contrer ca CF mon premier post et go te documenter
A+
Répondre avec citation
Partager