28 Aug
2010
28 Aug
'10
10:21 p.m.
Le Sat, 28 Aug 2010 22:09:30 +0200, JF Bustarret jf@bustarret.com a écrit :
Ce qui n'aidera pas (même si c'est une bonne idée) pour filtrer les XSS et les injections SQL.
Certes. C'est surtout dans le cadre de plateforme d'hébergement massif.
Les injections SQL sont relativement faciles à filtrer, mais pas forcément les XSS, vu les nombreuses possibilités d'injecter du JS. Dans les deux cas, regarde ce qui est dans le Core Rule Set.
Il faut connaitre exactement l'attaque pour le XSS, car, en effet, les filtres génériques font ce qu'ils peuvent pour ce vecteur d'attaques.
a +.
--
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D