Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

#1 Le 19/02/2013, à 16:33

alfirdaous

Se proteger des attaques XSS

Bonjour,

J'ai lus le log du serveur, j'ai un seul site sur le serveur et j'ai trouve des codes <script> qui etaient ecrit sur l'url, maintenant le serveur est down (Server not found), mais je peux acceder en SSH, comment resoudre ce probleme (rendre le site disponible), et comment se proteger des attaques XSS sur l'URL??

exemple du log:

[Tue Feb 19 14:32:24 2013] [error] [client IP_ATTACKER] File does not exist: /home/domaine/www/666\n\n<script>alert('Vulnerable');<

[Tue Feb 19 14:35:50 2013] [error] [client IP_ATTACKER] Invalid URI in request GET shopdisplayproducts.asp?id=1&cat=<script>alert(document.cookie)</script> HTTP/1.1

Merci a vous

Hors ligne

#2 Le 19/02/2013, à 16:41

Hoper

Re : Se proteger des attaques XSS

Si l'attaque à réussie, ton problème n'est pas de relancer le serveur web, mais de ré-installer entièrement la machine.

Ensuite, ta question est très vague. C'est un peu comme si tu demandai comment éviter de tomber en panne en voiture. Une faille XSS est un défaut dans un site web. Si tu as développé toi même le site en question, et bien je dirai... en te formant d'avantage smile Si tu utilise des applicatifs web trouvés sur le net, ne choisi que ceux qui ont un suivi sérieux concernant les problématiques de sécurité, et soit toujours à jours.

Après, il existe des solutions plus génériques en utilisant des firewall applicatifs, mais c'est généralement hors de prix pour un particulier.

Voici une boite française qui propose un produit de ce genre :
http://www.denyall.com/
Ca s'appelle rweb et globalement, c'est bien balaise. Mais encore une fois, c'est pas avec ton salaire que tu pourra te payer une licence smile


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/tdc/

Hors ligne

#3 Le 19/02/2013, à 16:49

alfirdaous

Re : Se proteger des attaques XSS

merci Hoper pour la reponse, j'ai fait un filtre des donnees a travers des formulaires, mais je voudrais savoir plus sur ceux qui passent par des URLs

Merci

Hors ligne

Haut de page ↑