Faille XSS dans le code wiki moteur de recherche ?!

smed79smed79 Member
dans Bogues
Bonjour,

Faille de type Cross-site scripting dans le code wiki

Ajouter un moteur de recherche dans une page statique

8wfo5l.png

Non ?

Réponses

  • StéphaneStéphane Member, Former PluXml Project Manager
    Bonjour smed79

    Peux-tu me mailer pour m'expliquer comment reproduire le problème en me donnant des détails.
    Merci d'avance

    Stéphane

    Consultant PluXml

    Ancien responsable et développeur de PluXml (2010 à 2018)

  • amowebamoweb Member
    Oui il est possible de faire afficher une boite de dialogue en écrivant une requête du type:
    <script type=text/javascript>alert(10)</script>
    Cependant on ne peut pas réellement parler de faille puisque les effets se trouvent du coté client.
  • smed79smed79 Member
    mai 2010 modifié
    pour resoudre

    dans le code Ajouter un moteur de recherche dans une page statique

    chercher:
    $searchword = strtolower(addslashes($_POST['searchfield']));
    remplacé par:
    $searchword = strtolower(htmlspecialchars($_POST['searchfield']));
    @++
  • Loup-des-NeigesLoup-des-Neiges Member 
    $searchword = strtolower(addslashes(htmlspecialchars($_POST['searchfield'])));
    Plutôt non ?
  • RathorianRathorian Member
    Oui pour 
    searchword = strtolower(addslashes(htmlspecialchars($_POST['searchfield'])));
    Ou encore un peu mieux 
    searchword = strtolower(addslashes(htmlentities($_POST['searchfield'])));
Connectez-vous ou Inscrivez-vous pour répondre.