Actualités
PHP_SELF (ou $_SERVER['PHP_SELF']) est sujet à des injections XSS tout comme n'importe quelle variable $_GET ou $_POST. En fait, le serveur Web prend les informations provenant de l'utilisateur pour construire cette variable, et même s'il y a quelques vérifications de plus que pour une variable $_GET (il faut bien que l"URI soit résolue pour être exécutée), il est possible de glisser des injections HTML dans PHP_SELF.
Gareth Heyes publie 4 tests à appliquer à une page pour voir si elle est vulnérable à une attaque XSS via PHP_SELF.
Gareth Heyes publie 4 tests à appliquer à une page pour voir si elle est vulnérable à une attaque XSS via PHP_SELF.
EXPLOITING PHP SELF (302 visites)- XSS Woes (56 visites)
Commentaires
Vous pouvez ajouter votre commentaire! |
Vous devez vous connecter pour commenter