28 Aug
2010
28 Aug
'10
4:25 p.m.
Bonjour,
Ici, existe il des gens qui utilisent mod_security ?
Dans quel cas de figure, et pour filtrer quoi ?
Avez vous des ressources "sympa" qu'on ne trouve pas par google ?
J'aimerai trouver des informations utiles pour améliorer la sécurité
face à un script php "mal codé", qui permettrai des injections sql ou
des failles XSS, sans passer 3h à le configurer. Une proposition ?
Merci d'avance,
28 Aug
28 Aug
7:09 p.m.
Le Sat, 28 Aug 2010 18:25:35 +0200,
"frsag(a)webmail.fr" <frsag(a)webmail.fr> a écrit :
Bonjour,
Ici, existe il des gens qui utilisent mod_security ?
Oui :)
Dans quel cas de figure, et pour filtrer quoi ?
Dans le cas ou j'ai aucun contrôle sur les applications servies par le
serveur HTTP.
Avez vous des ressources "sympa" qu'on
ne trouve pas par google ?
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Pro…
J'aimerai trouver des informations utiles pour
améliorer la sécurité
face à un script php "mal codé", qui permettrai des injections sql ou
des failles XSS, sans passer 3h à le configurer. Une proposition ?
Suivant le contexte, j'irais jusqu'à te conseiller de mettre en prison
(chroot) chaque appli.
a +.
--
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D
8:09 p.m.
Le 28 août 2010 à 21:09, Jerome Benoit a écrit :
Et un deuxième.
En ne prenant pas le Core Rule Set tel que : en ce qui me concerne, mes applis (ou
certains navigateurs) ne fonctionnent plus avec le Core Rule Set, qui est très paranoïaque
par rapport aux normes.
En faisant un peu de filtre, ça fonctionne bien.
Ce qui n'aidera pas (même si c'est une bonne idée) pour filtrer les XSS et les
injections SQL.
Les injections SQL sont relativement faciles à filtrer, mais pas forcément les XSS, vu les
nombreuses possibilités d'injecter du JS. Dans les deux cas, regarde ce qui est dans
le Core Rule Set.
JFB
Ici, existe il
des gens qui utilisent mod_security ?
Oui :) Avez vous des
ressources "sympa" qu'on ne trouve pas par google ?
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Pro… J'aimerai
trouver des informations utiles pour améliorer la sécurité
face à un script php "mal codé", qui permettrai des injections sql ou
des failles XSS, sans passer 3h à le configurer. Une proposition ?
Suivant le contexte, j'irais jusqu'à te conseiller de mettre en prison
(chroot) chaque appli.
8:21 p.m.
Le Sat, 28 Aug 2010 22:09:30 +0200,
JF Bustarret <jf(a)bustarret.com> a écrit :
Ce qui n'aidera pas (même si c'est une bonne
idée) pour filtrer les XSS et les injections SQL.
Certes. C'est surtout dans le cadre de plateforme d'hébergement massif.
Les injections SQL sont relativement faciles à filtrer, mais pas forcément les XSS, vu
les nombreuses possibilités d'injecter du JS. Dans les deux cas, regarde ce qui est
dans le Core Rule Set.
Il faut connaitre exactement l'attaque pour le XSS, car, en effet, les
filtres génériques font ce qu'ils peuvent pour ce vecteur d'attaques.
a +.
--
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D
4287
days inactive
4287
days old
3 comments
3 participants
participants (3)
-
frsag@webmail.fr -
Jerome Benoit -
JF Bustarret