Webmaster Hub: Faille TRACE - Webmaster Hub

Aller au contenu

Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Faille TRACE Noter : -----

#1 L'utilisateur est hors-ligne   ornythorink 

  • Groupe : Webmaster Régulier
  • Messages : 62
  • Inscrit(e) : 31-août 06
  • Genre:Homme

Posté 09 février 2007 - 17:35

Bonjour

On a attiré mon attention sur une faille qui augmenterait les risques de XSS que je suis en train de juguler sur mes applis
il s'agirait d'un mode trace de apache

voir cet article:
http://www.hardened-...132006.138.html

question 1 est ce que dois y accorder de l'importance?
question 2 comment desactiver ce mode s'il faut le désactiver
question 3 si ça a une importance est ce quelqu'un a une explication claire ? :wub:

ça a l'air assez pointu mais si jamais quelqu'un voit, pendant ce temps là je m'occupe des méchants XSS :)

Merci
0

#2 L'utilisateur est hors-ligne   Meschac 

  • Groupe : Actif
  • Messages : 36
  • Inscrit(e) : 13-février 07

Posté 13 février 2007 - 12:10

D'après ce que j'ai compris de cet Advisory,le problème viens des fonctions htmlentities() and htmlspecialchars() qui permettent en php de cassé les entrés de codes du types : 

 <script>alert();</script>



La faille est donc un Bufferoverflows qui permet un dépassement de mémoire et donc à l'attaquant de pouvoir mettre en place ce qu'il veux dans la mémoire de ton serveur.

Je te rassure tu ne risque pas grand chose si ton site est un site particulier car pour mettre en place une attaque de ce type il faut vraiment en vouloir.
Les scripts kiddies ne s'amuseront pas avec ce type de faille car a mon avis trop compliqué pour eux à mettre en oeuvre ;)

Si tu as d'autre question n'hésite pas.

Pour ce qui est des XSS part du principe que l'utilisateur ne renvois jamais des variables sures. :P
0

#3 L'utilisateur est hors-ligne   K-Ola 

  • Groupe : Hubmaster
  • Messages : 161
  • Inscrit(e) : 22-février 06
  • Genre:Homme
  • Localisation:Toulouse
  • Société:Click Internet

Posté 13 février 2007 - 13:22

Voir le messageMeScHaC, le mardi 13 février 2007, 12h10, dit :

Les scripts kiddies ne s'amuseront pas avec ce type de faille car a mon avis trop compliqué pour eux à mettre en oeuvre ;)


Je ne miserais pas la dessus pour sécuriser mon serveur car des exploits tournent souvent pour ce genre de failles,donc méfiance !
Service de rappel automatique
Agenda en ligne partagé
Communiqué de presse
0

#4 L'utilisateur est hors-ligne   Meschac 

  • Groupe : Actif
  • Messages : 36
  • Inscrit(e) : 13-février 07

Posté 15 février 2007 - 10:40

Voir le messageK-Ola, le mardi 13 février 2007, 13h22, dit :

Je ne miserais pas la dessus pour sécuriser mon serveur car des exploits tournent souvent pour ce genre de failles,donc méfiance !


Totalement d'accord mais les exploits qui tournent sur ces failles comportent des erreurs de code voulu et les rendent donc plus difficiles à exécuter :whistling:
0

#5 L'utilisateur est hors-ligne   ornythorink 

  • Groupe : Webmaster Régulier
  • Messages : 62
  • Inscrit(e) : 31-août 06
  • Genre:Homme

Posté 15 février 2007 - 11:21

Donc je vais choisir de ne pas m'en préoccuper maintenant ;)

en revanche comment je peux repèrer que quelqu'un l'exploite ? ...

Merci pour vos réponses
0

#6 L'utilisateur est hors-ligne   Meschac 

  • Groupe : Actif
  • Messages : 36
  • Inscrit(e) : 13-février 07

Posté 15 février 2007 - 13:57

Voir le messageornythorink, le jeudi 15 février 2007, 11h21, dit :

Donc je vais choisir de ne pas m'en préoccuper maintenant ;)

en revanche comment je peux repèrer que quelqu'un l'exploite ? ...

Merci pour vos réponses



Release Date: 2006/11/03

A mon avis le bug à été corrigé depuis le temps.

Pour te protéger des XSS fait attention au lien ou tu clique quand tu reçois des mails....
0

Partager ce sujet :


Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)