Index du Forum » » Sécurité

Auteur

Audit v5.0 RUNNER
Anonyme
19853  

  Posté : 18-05-2005 11:34

Hello je suis Romano un poto de NoSP :)

Je te donne mon avi perso.
Je pense que la plupart des mots "sensibles" sont répertoriés dans url protect donc je me demande un peu ce que tu veux mettre à jour dedans (tu bloques l'exploitation de XSS grâce a !document.cookie! banni, tu empêches l'exploitation de SQL Injection grâce à select, union banni ok).

Cepandant, on ne passe pas forcement par une url pour expoiter une faille. On peut utiliser un cookie ou un formulaire (upload), et je ne sais pas si ton code bloquerai également ces types de variables (à priori il filtre !document.cookie! mais pas UNION SELECT sur des variables POST).

Sans oublier qu'il y a peut être encore moyen de contourner le filtre (on a peut être pas tout trouvé ) !

Je pense que le mieu serai, dans l'interface d'administration, de faire une partie sécurité où le webmaster est au courant des derniers problèmes de sécu sur NPDS avec un lien du patch correctif.

Cette partie news serai gérée par toi, tu posterais une alerte qui s'afficherai sur tous les portails NPDS inscrits.

Voilà c'est mon idée sur la chose



Cet article provient de NPDS

http://www.npds.org/viewtopic.php?topic=16485&forum=12