(c) News0ft Ok, alors j’en croise encore qui tentent de filtrer des XSS à coup d’expressions régulières… donc de parser du HTML avec des expressions régulières… non content de tuer des chatons et de rendre fou les gens sur stackoverflow et on croise souvent des WAF et autres dispositifs qui possèdent de superbes regexps épiques qui […]
Ok, bon c’est parti, je vais vous parler de mes recherches (si si ) avec une série de billets sur les XSS, le fonctionnement des attaques, l’évasion et les techniques de détection pour finir par quelques cas d’application à la marge mais pourtant super intéressants (la question de l’utilité est laissé en exercice au lecteur). […]
Depuis deux ans on voit apparaitre divers plug-ins Firefox pour faciliter le travail des développeurs Web, mais aussi des pen-testeurs. Voici une petite collection d’add-ons plus ou moins pratiques, qui vous aiderons dans vos pen-tests…
C’est difficile de faire comprendre à des développeurs de site web qu’ils DOIVENT filtrer les entrées utilisateur de leur site… Forcément quand vous leur montrez une faille XSS (Cross Site Scripting) avec un pop-up JavaScript du genre « coucou » ou « xss » ça ne les impressionnent pas… et ils vont répoondre que le JavaScript c’est sécurisé, et […]