X hits on this document

94 views

0 shares

0 downloads

0 comments

40 / 46

XSS – de la brise à l'ouragan – III) Tous aux abris – les contre-mesures b) Aware or a war ?

Sur les deux vulnérabilités critiques signalées en décembre 2008 et février 2009, Facebook est certes intervenu en temps record (moins de 6 heures), mais s'est contenté de modifier la couche de présentation...

Il est aujourd'hui possible d'injecter un code hostile dans certains champs de formulaires Facebook : ce code est certes neutralisé au niveau présen- tation, mais il est potentiellement dangereux dans un contexte de couche de présentation modifiée.

Badge Facebook, au format png ; le fait que les caractères « < » et « > » ne soient pas remplacés par leurs équivalents HTML ou hexa- décimaux tend à laisser penser qu'ils sont stockés tels quels en base de données.

Mais prendre les bonnes mesures est sans doute plus facile à dire qu'à faire...

Document info
Document views94
Page views103
Page last viewedSun Dec 04 10:41:13 UTC 2016
Pages46
Paragraphs417
Words3787

Comments