[WB10] Cross site scripting

Version imprimable

07/01/2008, 18h15
Zoons

[WB10] Cross site scripting
Bonjour à tous,

Nous avons fait évalué un de nos site Internet par une firme de sécurité. Ce site doit être à un maximum sécurisé car beaucoup d'information y sont confidentiel. Dans l'un des problèmes ressortis de l'évaluation est le "Cross site Scripting"

Prenons par exemple le lien suivant.
http://www.website.com/WD100AWP/WD10...YNC_2141334312

Si l'on remplace cette ligne par
http://www.website.com/WD100AWP/WD100Awp.exe/CTX_2416-2-SQhbrigGky/nom_page/"><script>alert('Cross Site Scripting')</script>

On se retrouve avec un script qui est exécuté.

Y as-t-il moyen d'empêcher ce genre de truc ?

Deplus WB10 affiche des informations sur l'objet demandé lorsque qu'une erreur survient. (Ex : Nom de page) Y a-t-il moyen d'enlever toute ces informations ?

Une autre chose également, cette fuite d'information sur l'architecture du serveur et du site se passe dans le code source de certaine parge

Ex:
Code:

1 2 3 4 GET /WD100AWP/WD100AWP.EXE/CTX ..../nom_page HTTP/1.1 Referer : https://www.nomsite.com:443/..... Cookie: CustomCookie=WebInspect...
Les principales lignes qui me chicotte sont celles du cookie et du GET.

Quelqu'un pourrait m'aider à ce sujet ?

Daniel
10/01/2008, 10h00
Emmanuel Lecoester

Si vous avez découvert une faille 8O dans la gestion des pages web WB, le mieux est de contacter l'éditeur directement.
10/01/2008, 14h48
Zoons

C'est déjà fait.

Et toujours pas de réponse encore.
11/01/2008, 12h06
thanathz

Je suis encore trop débutant en Webdev pour être ferme et définitif, mais je ne suis pas persuadué qu'on puisse avoir une totale maitrise de ce genre de choses sous WB.

Peut-être faut-il voir avec la gestion d'exception sur l'ensemble des pages...
19/01/2008, 17h53
Nicolas.Boonaert

A première vue, puisque PC Soft gère pas mal d'événement de clic en JS...on pourrait imaginer que cette possibilité expose une faille.

Il faudrait creuser davantage, mais je pense qu'il existe bien d'autres moyens d'exploiter un site Webdev, surtout que là, ce qui est possible de faire est principalement orienté client-side...
21/01/2008, 17h59
ner0lph

Citation:

Envoyé par Zoons

Les principales lignes qui me chicotte sont celles du cookie et du GET.

Le cookie peut être accepté ou non par le navigateur.
Le GET est essentiel : c'est lui qui permet de demander au serveur de t'envoyer la page ! (protocole HTTP)

Sinon, utilise SSL/HTTPS + certificat (inutile de demander à une "autorité de certification" si tu le fais toi-même) pour chiffrer les communications entre le client et ton site sur le serveur.