Le HTML non-standard aide les attaques XSS

le 07/05/2007 à 19:35
Le HTML non-standard aide les attaques XSS
Les attaques XSS prennent des formes variées, et s'appuient sur toutes les faiblesses du code. Traditionnellement, on s'en protège avec htmlentities() ou htmlspecialchars(), mais cela suppose même que la balise a utilise des guillemets pour protéger les attributs. Autrement, le caractère espace sera ignoré par les fonctions de protection, mais devient un attribut séparateur pour HTML.

C'est le même problème que mysqli_escape_string() qui ne reconnait pas les pourcentages ou les parenthèses, alors que ces derniers peuvent engendrer des dénis de services avec la balise LIKE ou une sous-requête.

- Non-Standard HTML Fuels XSS Attacks

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours