Je vous parlais du danger des RFI il y a peu, je vous présente les XSS ou « Cross site scripting », une faille extrêmement populaire chez les défaceurs de site webs. Elle a à nouveau pour origine une négligence de la part du programmeur.
Le XSS peut être utilisé de diverses manières, je vais vous parler des « injections sql », ou comment interroger une base de donnée de manière inattendue.
(Lire la suite…)
Archive pour la catégorie ‘Web’
Une autre faille des sites web: les injections SQL
Lundi 20 août 2007Un copier/coller d’un lien dans du html = attention
Jeudi 2 août 2007Je peux voir dans les statistiques du site une erreur très très fréquente. Celle de copier/coller un lien sans transformer les entités html. J’explique. Soit la page suivante:
http://www.maconnect.ch/index.php?page=liquidcd&lang=en
Et bien beaucoup oublient de changer le « &lang » en « &lang ». Or, « ⟨ » (avec le point-virgule) est une entité html valable. Donc le lien pointe vers :
http://www.maconnect.ch/index.php?page=liquidcd⟨=en
Le navigateur se charge d’ajouter le « ; » manquant. Au final l’utilisateur sera redirigé vers la page d’accueil.
Moralité: attention ! & –> &
RFI: la faille php la plus exploitée
Lundi 30 juillet 2007Une faille dite RFI (Remote File Inclusion) est une conséquence d’une mauvaise programmation d’un site web en php. Si je décide de vous en parler, c’est parce que maconnect.ch est victime de plusieurs tentatives de RFI chaque semaine. Je vous en parlerai en fin d’article.
(Lire la suite…)
Le site ne passe pas sous IE
Vendredi 27 juillet 2007Oui… je sais. Le site est tout pas beau sous Internet Explorer. Je sais aussi que c’est le navigateur le plus utilisé et que je devrais apporter les corrections nécessaires.
Le problème c’est que je n’ai pas programmé le site moi-même. J’envisage de le refaire entièrement, mais je ne peux pas, à cause de ma flemmagite. Certains comprendront.