Re: [wikiss-users] Release : WiKiss 0.2.1

[ Thread Index | Date Index ]


Salut,

> J'essaye d'être un utilisateur aussi réactif que le développeur ;-)
La je vais sans doute me calmer, le prochain point concerne les
plugins et demande pas mal de réflexion

> http://fr.wikipedia.org/wiki/XSS
La page en anglais est bcp plus complète.
http://en.wikipedia.org/wiki/Cross-site_scripting

> Est-ce que ça serait possible d'avoir un peu plus d'info là dessus, quand tu
> auras le temps bien sûre ?
En gros, le principe d'un XSS est de faire exécuter du code javascript
dans une page web à l'insu de l'utilisateur et du proprio du site.
Pour cela on doit injecter du html/javascript dans celle-ci via un
formulaire ou directement dans l'url. Si ces données sont affichées
telle quelles dans la page on peut alors faire exécuter du javascript
à celui qui l'affiche.
Le test de base est d'entrer ce code html dans un formulaire :
<script language=javascript>alert("hello")</script>

> En particulier je me demande en quoi WiKiss était vulnérable à ce type
> d'attaque, et comment la faille a été corrigée? Est-ce la rev 22 qui a
> corrigé la faille ? (
> http://viewvc.tuxfamily.org/svn_wikiss_svn/trunk/index.php?r1=21&r2=22)
> ?
TW et WK affichaient les pages sans traduire les entitées html[1] (< :
&lt;, > : &gt;, é : &eacute; ...), donc c'était interprété par le
navigateur comme du html et dans l'exemple ci-dessus une boite de
dialogue apparaît.
Le principe de base pour s'en prémunir est donc de traduire < en &lt;
avant de l'afficher comme cela le browser affiche < et n'interprete
pas cela comme une balise html.
C'est corrigé par la rev 21
http://viewvc.tuxfamily.org/svn_wikiss_svn?view=rev&revision=21
Maintenant on n'enregistre plus < sur le disque mais &lt;

> Je ne souhaiterai pas mettre de mot de passe sur mon Wiki pour le moment
> (j'ai très peu de visiteurs entre autre). Est-ce que ça pose toujours un
> problème au niveau de la faille XSS, malgré la nouvelle version ?
Non, maintenant la modification des pages ne permet plus d'injecter du
code. Du moins selon tous les tests que j'ai fait. En sécurité on ne
peux pas dire jamais :)
Reste un risque au niveau du champ query qui affiche la requête
presque telle quelle. Cela dit : si il y a une faille c'est une de
type 2, ce n'est pas le type le plus grave. De plus je n'ai pas
réussit à déclencher une exécution via ce champ donc je suis plutôt
confiant.

Si vous voulez vous amuser à tester les failles XSS (sur vos propres
sites hein !) voici un lien utile : http://ha.ckers.org/xss.html
j'avoue que je ne les ai pas tous testés :)

Sinon, merci, c'est agréable d'avoir des utilisateurs intéressés :)

++
JJL

[1]: en fait TW le faisait, mais dans les deux sens ce qui reviens au même
-- 
http://kubuntu.free.fr/blog

---
http://wikiss.tuxfamily.org


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/