Diagnostiquer vos failles XSS avec XSSER

kali linux

Dans ce billet je vais présenter le paquet XSSER sous Kali Linux qui permet de diagnostiquer si certain de vos sites peuvent être victime de failles XSS. Les failles XSS sont décrite comme des vulnérabilités permettant à l’attaquant d’injecté du code et ainsi permettre des actions non désiré pour un visiteur. On peut ainsi citer le vol de cookies, la redirection vers une page de phising ou autres …

Les failles XSS sont généralement présente dans les variables passés en URL.

EX :

http://www.lesitevulnerable.ledomain/index.php?recherche=larecherchedunutilisateur

devient

http://www.lesitevulnerable.ledomain/index.php?recherche=<h1>affichage de texte</h1>

Pour cette exemple je me suis contenté d’inscrire brutalement des balises HTML afin de faire comprendre l’idée. On peut cependant faire passer sous plusieurs formes des arguments. XSSER permet de tester toutes (ou presque) les combinaisons possibles de failles XSS.

Ainsi on va lancer l’interface graphique de l’outil via, xsser — gtk.

0 lancement xsser

Continuer la lecture de Diagnostiquer vos failles XSS avec XSSER

Script PHP pour naviguer dynamiquement sur Votre Site

Si vous réalisez du code personnel via du PHP il devient rapidement intéressant de le rendre « dynamique ». Le script récupère suivant le lien un nom de page via une requête en $_GET et interroge un tableaux contenant la correspondance de page. Vous évitez ainsi les soucis de type XSS.

Je vais prendre comme exemple un lien comme ci-dessous :

-
<a href="index.php?p=mapage.php" target="_BLANK">
En cliquant sur ce lien vous serez redirigé vers mapage.php"</a>
-

Continuer la lecture de Script PHP pour naviguer dynamiquement sur Votre Site