Sécurité des applications web

On ne parle maintenant plus de sites web : ils ont presque totalement disparu pour laisser la place à des applications web. On les trouve en entreprise, où on se retrouve presque à l’âge des mainframe : des applications centralisées où le poste client ne sert qu’à présenter l’information. C’est la mode, comme pour le grand public […]

21 décembre 2007 par Ghusse 

Posh : la faille (XSS) du jour

Eh oui, encore une. Je l’ai découverte ce matin (dans le métro en y repensant). Elle était tellement évidente que je n’y ai pas pensé tout de suite. Cette faille XSS permet, comme la précédente, à une personne mal intentionnée d’exécuter des actions avec les privilèges administrateur par l’intermédiaire de javascript. Cela se produit à cause de l’interface […]

17 juillet 2007 par Ghusse 

Posh : faille

Cette fois ci j’ai essayé de trouver une faille XSS (cross site scripting) dans posh, j’ai réussi. Toujours en utilisant la fonctionnalité de proposition d’un module : on lance l’exécution d’un script non désiré lorsque l’administrateur consulte la page des modules en attente de validation. Par ce biais un utilisateur peu scrupuleux peut exécuter des […]

16 juillet 2007 par Ghusse