A propos de [PHP] Je ne t'aime pas - Forums - Olissea.com (Liens en vrac de JeromeJ)
mardi 10 septembre 2013 à 18:16 JeromeJ, le 10/09/2013 à 14:22
Allez ! On continue dans notre série "PHP c'est vraiment n'importe quoi !".
#poop, une faille XSS built-in. Une !
Afficher les erreurs en prod, c'est mal ? Non, c'est bien pire que ça ! C'est exposer son site à des failles XSS. Enjoy cette merde.
Pfff
https://bugs.php.net/bug.php?id=55139
Et évidemment, le plus beau c'est qu'ils ne veulent pas réparer ça, c'est pas un bug selon eux.
Si tu affiches les erreurs, alors tu renonces à la sécurité, selon eux.
(Ça leur fendrait trop le cul d'ajouter un htmlspeacialchars ? Genre …)
Bon, ok, on peut log les erreurs même en dev, mais de là à être obligé (faut-il encore le savoir que c'est dangereux à ce point)…
Même en dev, je pourrais extraire des données utilisateur d'un site externe et me faire piéger par un beau script JavaScript.
Bande de cons. -.-
(Permalink)
Bronco, le 10/09/2013 à 18:16
Je copie là ma réponse du forum ^^
"Rhaaaa la mauvaise foi ! ^^
Même si le html a bien été interprété, il en va tout autrement du javascript, en effet:
<?php
$a=array();
echo $a["<script>alert('test');</script>"];
?>
ne fonctionne pas !
"Notice: Undefined index: <script>alert('test');</script> in C:\Dropbox\UwAmp\www\TEST\aeff.php on line 3"
Il n'y a donc pas de faille XSS réelle... ou alors montre-moi un code qui exploite cette faille (je peux me tromper et je suis très curieux !!! ^^)"
(Permalink)
Allez ! On continue dans notre série "PHP c'est vraiment n'importe quoi !".
#poop, une faille XSS built-in. Une !
Afficher les erreurs en prod, c'est mal ? Non, c'est bien pire que ça ! C'est exposer son site à des failles XSS. Enjoy cette merde.
Pfff
https://bugs.php.net/bug.php?id=55139
Et évidemment, le plus beau c'est qu'ils ne veulent pas réparer ça, c'est pas un bug selon eux.
Si tu affiches les erreurs, alors tu renonces à la sécurité, selon eux.
(Ça leur fendrait trop le cul d'ajouter un htmlspeacialchars ? Genre …)
Bon, ok, on peut log les erreurs même en dev, mais de là à être obligé (faut-il encore le savoir que c'est dangereux à ce point)…
Même en dev, je pourrais extraire des données utilisateur d'un site externe et me faire piéger par un beau script JavaScript.
Bande de cons. -.-
(Permalink)
Bronco, le 10/09/2013 à 18:16
Je copie là ma réponse du forum ^^
"Rhaaaa la mauvaise foi ! ^^
Même si le html a bien été interprété, il en va tout autrement du javascript, en effet:
<?php
$a=array();
echo $a["<script>alert('test');</script>"];
?>
ne fonctionne pas !
"Notice: Undefined index: <script>alert('test');</script> in C:\Dropbox\UwAmp\www\TEST\aeff.php on line 3"
Il n'y a donc pas de faille XSS réelle... ou alors montre-moi un code qui exploite cette faille (je peux me tromper et je suis très curieux !!! ^^)"
(Permalink)