[DEFCON17] Slides sur le Cross Site Scripting (XSS reminder)

Plop à tous

Un rapide lien today sur les XSS « favoris », je vais pas revenir sur les XSS, tout le monde sait ce que c’est ;), mais le ppt en question permet d’avoir une rapide vue d’ensemble des techniques (certaine plus avancée comme le  HPP – HTTP Parameter Pollution pour l’evasion d’IDS … moi qui était content du couple prelude/modsecurity ^^).

Bon bien sûr, le but de ce ppt n’était pas d’enseigner toutes les techniques, mais seulement d’informer pour permettre à son lecteur de faire ses propres recherches sur le domaine ;).

Sinon, les dernières diapos parlent d’elles-mêmes sur la sécurité (relative) qu’offrent les IDS dans le domaine du web, avec des règles comme :

utiliser ‘ or 2=2 — à la place de ‘ or 1=1 —
nommer les shells rofl.php à la place de c99.php
utiliser prompt(‘xss’) à la palce de alert(‘xss’)

C’est vrai que quand on regarde les filtres de modsecurity, il suffit de changer les noms ou les commandes balancés en paramètre et certaines attaques passent :s (je suis tout de même déçu par le modsecurity pour le HPP, un simple « join » du paramètre suffirait à bloquer l’attaque …).

Donc au lieu d’utiliser des sytèmes energivore pour sécuriser des sites web, il suffit de bien coder son site et comme ça on dort tranquille et on gagne en performance … (utopie quand tu nous tiens^^).