Re: Questions
On Fri, Apr 26, 2002 at 08:45:43AM +0200, Martin Quinson wrote:
> Yuji Takahashi discovered a bug in analog which allows a cross-site
> scripting type attack. It is easy for an attacker to insert arbitrary
> strings into any web server logfile. If these strings are then analysed by
> by analog, they can appear in the report.
>
> Il faut demander à des experts en sécurité, je sais pas ce que ce type
> d'attaque veut dire.
C'est un terme qui désigne une attaque spécifique sur une
vulnérabilité plus générale.
La vulnérabilité:
Le site web ne filtre pas les balises html rentrées par un utilisateur.
L'attaque générale:
Un utilisateur poste un message dans un forum ou un systeme de mail sur
le web, qui contient de javascript, qui va s'exécuter sur les
navigateurs des autres utilisateurs du site.
L'attaque spécifique (cross site):
Le javascript en question redirige sur une copie du site de telle
sorte que l'utilisateur ne voit strictement aucune différence (l'url
affichée est toujours l'originale), sauf que tout ce qu'il fait
(mots de passe rentrés, etc) se fait sur le site pirate.
Jerome.
--
To UNSUBSCRIBE, email to debian-l10n-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to:
- References:
- Questions
- From: Pierre Machard <pmachard@tuxfamily.org>
- Re: Questions
- From: Martin Quinson <Martin.Quinson@ens-lyon.fr>