Bonjour,
Ici, existe il des gens qui utilisent mod_security ?
Dans quel cas de figure, et pour filtrer quoi ?
Avez vous des ressources "sympa" qu'on ne trouve pas par google ?
J'aimerai trouver des informations utiles pour améliorer la sécurité face à un script php "mal codé", qui permettrai des injections sql ou des failles XSS, sans passer 3h à le configurer. Une proposition ?
Merci d'avance,
Le Sat, 28 Aug 2010 18:25:35 +0200, "frsag@webmail.fr" frsag@webmail.fr a écrit :
Bonjour,
Ici, existe il des gens qui utilisent mod_security ?
Oui :)
Dans quel cas de figure, et pour filtrer quoi ?
Dans le cas ou j'ai aucun contrôle sur les applications servies par le serveur HTTP.
Avez vous des ressources "sympa" qu'on ne trouve pas par google ?
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj...
J'aimerai trouver des informations utiles pour améliorer la sécurité face à un script php "mal codé", qui permettrai des injections sql ou des failles XSS, sans passer 3h à le configurer. Une proposition ?
Suivant le contexte, j'irais jusqu'à te conseiller de mettre en prison (chroot) chaque appli.
a +.
Le 28 août 2010 à 21:09, Jerome Benoit a écrit :
Ici, existe il des gens qui utilisent mod_security ?
Oui :)
Et un deuxième.
Avez vous des ressources "sympa" qu'on ne trouve pas par google ?
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj...
En ne prenant pas le Core Rule Set tel que : en ce qui me concerne, mes applis (ou certains navigateurs) ne fonctionnent plus avec le Core Rule Set, qui est très paranoïaque par rapport aux normes.
En faisant un peu de filtre, ça fonctionne bien.
J'aimerai trouver des informations utiles pour améliorer la sécurité face à un script php "mal codé", qui permettrai des injections sql ou des failles XSS, sans passer 3h à le configurer. Une proposition ?
Suivant le contexte, j'irais jusqu'à te conseiller de mettre en prison (chroot) chaque appli.
Ce qui n'aidera pas (même si c'est une bonne idée) pour filtrer les XSS et les injections SQL.
Les injections SQL sont relativement faciles à filtrer, mais pas forcément les XSS, vu les nombreuses possibilités d'injecter du JS. Dans les deux cas, regarde ce qui est dans le Core Rule Set.
JFB
Le Sat, 28 Aug 2010 22:09:30 +0200, JF Bustarret jf@bustarret.com a écrit :
Ce qui n'aidera pas (même si c'est une bonne idée) pour filtrer les XSS et les injections SQL.
Certes. C'est surtout dans le cadre de plateforme d'hébergement massif.
Les injections SQL sont relativement faciles à filtrer, mais pas forcément les XSS, vu les nombreuses possibilités d'injecter du JS. Dans les deux cas, regarde ce qui est dans le Core Rule Set.
Il faut connaitre exactement l'attaque pour le XSS, car, en effet, les filtres génériques font ce qu'ils peuvent pour ce vecteur d'attaques.
a +.
-
frsag@webmail.fr -
Jerome Benoit -
JF Bustarret