| Re: [wikiss-users] Release : WiKiss 0.2.1 |
[ Thread Index |
Date Index
| More lists.tuxfamily.org/wikiss-users Archives
]
- To: wikiss-users@xxxxxxxxxxxxxxxxxxx
- Subject: Re: [wikiss-users] Release : WiKiss 0.2.1
- From: JJL <buggerone@xxxxxxxxx>
- Date: Thu, 20 Sep 2007 14:51:44 +0200
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=beta; h=domainkey-signature:received:received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references; bh=oRsHrCftPAvRJqaz00hlwGM4EENjDG2Uedv9Bk0wIoQ=; b=NgZuoUjXmTJLEvs6fzgKU4LxkbWMzNvoo9osb896m8RVL5/xiNHDrsHcjGUNsyqkcZee35/GCBgsHE+KbVDlbwTTjP45d9gbTukhDblH7+LD7X392/hnaRfCkbGpOSQ0JhPis/tuygXFEAN0UjpdMfGHG8f1gAFczqzuF27oaa8=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=beta; h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references; b=cuSAe6+CNTQ5Pvh2s9h0WtsZx/eQ86q5SZH3Eq/aAtw/6aMl2ILGpXg30Ac5bqi4/PckrXE/PCe1rfOW2LG8XOoZfxgwCWLOKF8LbDRL+/F8MwDojDEMyl8BFEnuGisxWnso902yRRJ/Huri6hbMbetBqfxhD64vJ5LlCd6Eu7Q=
Salut,
> J'essaye d'être un utilisateur aussi réactif que le développeur ;-)
La je vais sans doute me calmer, le prochain point concerne les
plugins et demande pas mal de réflexion
> http://fr.wikipedia.org/wiki/XSS
La page en anglais est bcp plus complète.
http://en.wikipedia.org/wiki/Cross-site_scripting
> Est-ce que ça serait possible d'avoir un peu plus d'info là dessus, quand tu
> auras le temps bien sûre ?
En gros, le principe d'un XSS est de faire exécuter du code javascript
dans une page web à l'insu de l'utilisateur et du proprio du site.
Pour cela on doit injecter du html/javascript dans celle-ci via un
formulaire ou directement dans l'url. Si ces données sont affichées
telle quelles dans la page on peut alors faire exécuter du javascript
à celui qui l'affiche.
Le test de base est d'entrer ce code html dans un formulaire :
<script language=javascript>alert("hello")</script>
> En particulier je me demande en quoi WiKiss était vulnérable à ce type
> d'attaque, et comment la faille a été corrigée? Est-ce la rev 22 qui a
> corrigé la faille ? (
> http://viewvc.tuxfamily.org/svn_wikiss_svn/trunk/index.php?r1=21&r2=22)
> ?
TW et WK affichaient les pages sans traduire les entitées html[1] (< :
<, > : >, é : é ...), donc c'était interprété par le
navigateur comme du html et dans l'exemple ci-dessus une boite de
dialogue apparaît.
Le principe de base pour s'en prémunir est donc de traduire < en <
avant de l'afficher comme cela le browser affiche < et n'interprete
pas cela comme une balise html.
C'est corrigé par la rev 21
http://viewvc.tuxfamily.org/svn_wikiss_svn?view=rev&revision=21
Maintenant on n'enregistre plus < sur le disque mais <
> Je ne souhaiterai pas mettre de mot de passe sur mon Wiki pour le moment
> (j'ai très peu de visiteurs entre autre). Est-ce que ça pose toujours un
> problème au niveau de la faille XSS, malgré la nouvelle version ?
Non, maintenant la modification des pages ne permet plus d'injecter du
code. Du moins selon tous les tests que j'ai fait. En sécurité on ne
peux pas dire jamais :)
Reste un risque au niveau du champ query qui affiche la requête
presque telle quelle. Cela dit : si il y a une faille c'est une de
type 2, ce n'est pas le type le plus grave. De plus je n'ai pas
réussit à déclencher une exécution via ce champ donc je suis plutôt
confiant.
Si vous voulez vous amuser à tester les failles XSS (sur vos propres
sites hein !) voici un lien utile : http://ha.ckers.org/xss.html
j'avoue que je ne les ai pas tous testés :)
Sinon, merci, c'est agréable d'avoir des utilisateurs intéressés :)
++
JJL
[1]: en fait TW le faisait, mais dans les deux sens ce qui reviens au même
--
http://kubuntu.free.fr/blog
---
http://wikiss.tuxfamily.org