Attention au code...

**Darwin** Dim 23 Nov 2008 - 9:58

Ouais genre :

Allez-y postez, j'ai pris le contrôle Very Happy

geobuch Dim 23 Nov 2008 - 10:18

hein??!!

**Maeror** Dim 23 Nov 2008 - 10:32

Tsss ça aurait été plus propre au blanco ^^

Hertmin Dim 23 Nov 2008 - 12:28

Nie ?!?!

**Pacô** Dim 23 Nov 2008 - 14:21

En gros, il dit qu'il faut faire attention au code (= balises html) que l'on poste.
Là il a laissé une balise html ouverte...

E. Dim 23 Nov 2008 - 14:50

Ce message a été supprimé.

**Darwin** Dim 23 Nov 2008 - 18:33

Re: Attention au code...
Darwin Dim 23 Nov 2008 - 18:33

Ouais j'ai trouvé ça fun

Allez je stoppe ça

Mouhahahaha Twisted Evil

E. Lun 24 Nov 2008 - 19:07

alert('Lol') aurait été plus violent.

**Darwin** Lun 24 Nov 2008 - 21:01

Re: Attention au code...

Message Darwin Lun 24 Nov 2008 - 21:01

Dernière édition par Darwin le Lun 24 Nov 2008 - 21:14, édité 3 fois

**Maeror** Lun 24 Nov 2008 - 21:11

Trop classe !
Mon PC m'a reconnu ! chizz

...

**Darwin** Lun 24 Nov 2008 - 21:16

Maintenant ya un bonus.

**Marie D** Lun 24 Nov 2008 - 21:40

Ouais je viens de voir!
Merci Darwin!!!!!!!!!!!!!
Vengeance! Mad

**Darwin** Ven 28 Nov 2008 - 16:42

Tiens quelqu'un a essayé de me faire du XSS sur mon site au rayon livre d'or. Ben le code html n'est pas interprété Smile

Du coup le alert censé dire que mon site est pourri ne s'affiche pas. J'ai mis en valeur cette pièce magnifique.
J'en profite pour préciser qu'il est aussi protégé contre l'injection SQL Wink

Hertmin Ven 28 Nov 2008 - 21:13

Toujours rien compris ! chizz

**Darwin** Ven 28 Nov 2008 - 21:22

Regarde ici Wink

Hertmin Ven 28 Nov 2008 - 21:26

**Darwin** Ven 28 Nov 2008 - 21:27

Le message :

Code:: <script type="text/javascript">alert('XSS über alles')</script> edit Darwin : Ou pas mon garçon, ou pas.

Hertmin Ven 28 Nov 2008 - 21:38

Oui j'ai compris mas ce script en clair il signifie quoi ? On a essayé de te hacker le système ?

**Darwin** Sam 29 Nov 2008 - 0:03

oui, en quelque sorte. Si la combine avait réussi, tu aurais vu ce que ce bouton affiche : , mais à chaque fois que tu ouvrirais la page, ce qui est très chiant. Il a misé sur le principe qu'en mettant du code dans le message du livre d'or, il pourrait modifier mon code source grâce aux balises.
En fait j'ai protégé mon système, ce qui fait que le code entré dans le livre d'or est converti en texte pur, donc pas du tout interprêté, ce qui empêche le XSS (l'action de mettre du code "pirate").
Je l'ai protégé également de l'injection SQL, pour qu'un petit malin vienne pas faire afficher autre chose que ce qui est prévu, genre par exemple des mots de passe, ou de la merde. En gros par exemple, mon site possède une interface d'admin avec identification. Je rentre le login + pwd et je me connecte, en gros une requête vers mon serveur pour vérifier les identifiants c'est ça : "Va me chercher dans la table utilisateurs celui dont le login est 'login' et le password 'pwd', si tu m'en ramènes un c'est ok on connecte, sinon on jette", donc un petit malin va écrire dans le champ password d'un site non sécurisé un truc du genre " ' ou 1=1", ce qui donne la requête "va chercher l'utilisateur ou login='login' et pwd='pwd' et 1=1", ce qui renvoie toujours OK, donc qui me connecte à coup sûr Smile

Donc je protège et je fais aussi convertir le code en "Va chercher l'utilisateur avec login='login' et pwd='pwd et 1=1'", ce qui jette Very Happy

Amusant, non ?

Hertmin Sam 29 Nov 2008 - 10:00

Tiens tu viens d'me donner une idée ... Razz

**Darwin** Sam 29 Nov 2008 - 10:13

Développe ^.^

**Pacô** Sam 29 Nov 2008 - 10:53

Ou ça l'idée?

Contenu sponsorisé