NewbieContest

Bonjour je cherche à faire des test sur les faille xss, donc en local, mais ça ne fonctionne pas.

je n'ais pas internet chez moi
j'utilise wamp5

en clair des que je met un caractair genre < ou " l'url les transforme en code html et les rend inofencif.

Quelqu'un pourait t'il m'aider.
Merci.

N'utilise qu'un éditeur de texte comme blocnote ou notepad pour générer tes pages HTML.
Là tu es sûr de ne pas avoir ce genre de soucis.

j'utilise pspad.

Je comprend pas ce que ça va changer. Peut tu m'expliquer.

cela viendrais t'il de l'entête généré par pspad ?

Bon apparemment je ne sais pas tout sur ton problème.

1) peut-tu nous dire dans quel environnement tu teste les XSS ? (php avec un truc du genre EasyPHP, ou seulement du JavaScript)
ok : WampServer 5

2) Peut-tu aussi nous coller le script que tu teste. (pour savoir si tu n'as pas une protection X ou Y)

Surement un htmlentities qui traine...

merci

Je crée un page pspad avec un script genre :

if($_GET[patate] != 0)
{
    echo "hello, $_GET[patate]";
}

je colle la page dans le serv wamp et je lance dans mozilla (127.0.0.1/test/test.php?patate=gomanx)
je modifie l'url en 127.0.0.1/test/test.php?patate=<script>alert("patate");</script>

Et quel est le problème, au final ?

tente comme ça :


Si cela ne fonctionne pas, regarde les configurations de WampServer 5

les config de wamp 5 deja regarder mais avec tous se bordel je ne sais pas ou chercher

sinon tu peux toujours vérifier comme ceci :

127.0.0.1/test/test.php?patate=<script>alert(doument.cookie);</script>

T'as des slashes qui s'affiche du type \" ?

non il me change le code par des %24script%27 ou un truc du genre

Qui est-ce qui change ? Le navigateur ? Le serveur ? Ou le vois-tu ? Dans l'url ? Dans la page ?

Faut être un tout petit peu plus précis quand on a un problème. Tu es le seul devant ton écran à voir ce qui se passe.

ok desolé.

Je crée mon fichier php comme dit plus haut ensuite je le balance sur le serveur apache de wamp5 puis le charge dans mozilla (127.0.0.1/test/index.php?patate=gomanx) je test la faille xss dans l'url (127.0.0.1/test/index.php?patate=<script>alert("patate");</script>) et quand je valide de la touche entré rien ne ce passe sauf dans l'url les caractaire spéciaux sont remplacaient par des %23 ou autre.

je ne sais rien de plus.

C'est normal : quand tu rentre tes données dans l'Url, il y a automatiquement un escape() d'appliqué dessus.
Tente en POST, avec un formulaire !

«Caractères» et «remplacés», par pitié. Donc, comme l'a signalé Iansus, c'est tout à fait normal (à ma connaissance, ça n'a rien à voir avec un échappement, mais c'est de l'«urlencode»). Et en POST, le comportement sera le même, sauf que cela ne se voit pas. Mais tout ça n'a pas d'incidence sur la XSS, il s'agit simplement d'une des méthodes classiques employées pour faire passer des caractères spéciaux dans des protocoles orientés texte.


Curieux, mais sans connaître la version et la configuration exacte de ton WAMP, on ne peut conclure : c'est peut-être normal.

Au fait, tu mets bien «http://» dans ton url ?

désolé pour les fautes pitoyables.

Oui le http:// est la.

je n'ai pas configuré wamp après install

Allez, tombons carrément dans la folie, la démesure et l'excès... Mais bon, je le dis quand même : perso, je me serais laissé tenté par un petit pluriel, genre fautes pitoyables. Censurez-moi si j'en dis trop  =D

Voilà c'est fait !

effectivement Bon sinon on pourrais revenir à nos moutonSSSSS

Ben après, c'est à toi de voir le contenu de la page qui est générée, hein.

Au hasard (car effectivement tu ne fournis pas beaucoup d'informations sur ton problème), est ce que Javascript est bien activé sur ton navigateur ?

Sinon, un bon début pourrait être de nous dire comment, dans la source de la page html renvoyée (et donc pas uniquement ce que tu vois à l'écran), les chevrons sont ils affichés ? Simplement "<", "&lt;", "%3C" ou autre...

je ne dit pas grand chose, mais en fait je sais rien de plus.

la source et comme précédemment dit.
Oui JS est activée.
Je pense que ça vient de la config wamp mais je ne c'est pas d'où ça pourrait provenir.

Où ça ?!? Je veux bien être gentil, mais si tu ne souhaites faire aucun effort pour te faire comprendre, moi j'abandonne.

le fichier php complet et comme ça :

<?php
   if($_GET[patate] == gomanx)
   {
      echo "Hello, gomanx";
   }
?>

Je sais que ce script est stupide mais c'est pour tester.

1) Je te demandais plutôt le résultat (i.e. la page html générée).
2) Ça n'a rien à voir avec le script que tu annonçais dans la première page du fil.
3) Y'a pas de xss là-dedans, il est donc assez logique que ça ne produise strictement rien.

Bon, maintenant, je te propose de consulter quelques tutoriaux (ici ou ailleurs) sur les XSS, ça te paraîtrait probablement plus clair et ça m'évitera de perdre du temps à comprendre où tu veux en venir.

effectivement cela n'a rien à voir avec le script que j'ai donné avant mais j'avais aussi testé :

<?php
echo "hello, $_GET[patate]";
?>

et suite à certaine recommandation :

<?php
echo ("hello, $_GET[patate]");
?>

ensuite se que ça génère ça semble évident. C'est une page blanche et c'est pas html mais php.

On se fiche de la couleur de la page.
Et non, ce n'est justement pas évident puisque ta XSS ne fonctionne pas.
Quel code HTML est généré quand tu appelles le script php avec du HTML dans le paramètre «patate» ?!?
Deux pages pour en arriver là. Deux pages. Il va peut-être falloir que tu commences à te poser des questions.

ouais je saisi pas tout la. Quand tu dis 2 page ne peut ont pas tout simplement appeler directement la page php comme ça (http://127.0.0.1/test/index.php?patate=gomanx)

EOT définitif pour moi, j'en ai assez de parler à un mur.

tu ne parles pas a un mur je te pose une question

EDIT : Quel code HTML est généré quand tu appelles le script php avec du HTML dans le paramètre «patate» ?!?
Deux pages pour en arriver là. Deux pages. Il va peut-être falloir que tu commences à te poser des questions.

je suis désole mais ça n'est pas très comprehensible

Comme ce fil m'a fait beaucoup rire, je vais t'expliquer ce que te demandais _o_ avant de perdre patience : qu'est-ce que ça donne quand tu fais afficher la source après avoir appelé ton url avec l'injection ?
Je ne reviendrais pas sur les deux pages, relis bien tout ce fil et peut être que tu comprendras  :D

il me semblait que le php ne se voyait pas quand on voulait voir les source. Et comme je lès dit il n'y a que du php dans ma page donc rien ne s'afiche dans les source

Ok je présente mes excuses à tout le monde. Merci Spaulding.

je n'est toujours pas réussi mais je vais mieux m'expliquer.

Alors déjà le fichier et un fichier php pur sans même une en-tête html la page html généré et donc vide y'a pas de source je n'appelle cette page que depuis l'url directement (http://127.0.0.1/test/index.php?patate=gomanx) et ensuite je la modifie pour utiliser l'xss (http://127.0.0.1/test/index.php?patate=<script>alert("patate");</script>).

Si vous avez d'autres questions et que vous n'avez pas fui je serais plus clair.

Et si tu fais juste un
<?php
echo "hello";
?>

T'as toujours une page blanche ?

non haha pas mal. bon a part le text c'est une page blanche.

si je ne met pas de script (patate=gomanx) le text est Hello, gomanx
si je met du script ça devient Hello,

je précise pour ce que ça a énervé que je ne suis pas chez moi et que je ne peut donc pas tester directement vos suggestion mais j'ai décidé d'installer wamp5 v1.7.3 la ou je suis parce-que ce n'est vraiment pas pratique sinon.

Bah c'est pas une page blanche ça...  et si tu regardes la source, tu as quoi ?

hello, <script>alert(\"patate\");</script>

effectivement embétant c'est backslash

ok la faille marche très bien mais pas quand je met des "" (document.cookie ) marche très bien en fait c'était illusoire la faille a toujours marchait

Bon, on y arrive enfin, _o_ a eu beaucoup de patience, Spaulding a brillamment repris le flambeau, je vais alléger un peu leurs tâches. (Le coup des 2 pages est tout de même assez énorme)

Gomanx, le problème en face duquel tu étais est une option de "sécurité" de PHP (on remarqueras l'utilisation des guillemets pour le mot sécurité). Sur les nouvelles versions de PHP, l'option magic quotes (tutoriel ici (http://www.phpfrance.com/tutoriaux/index.php/2005/04/17/29-les-magic-quotes)) permet de neutraliser l'effet des caractères comme les guillemets doubles.

Si tu veux supprimer cette option, il faut aller bidouiller le fichier php.ini.

Maintenant, d'un point de vue plus général, je rejoins largement _o_. Tu es un peu dur d'oreille quand même. La xss ne se produit que lorsque le script est affiché sur le client, donc, il nous faut la source html que ton navigateur recoit pour comprendre ce qui se passe.

Et, le coup des deux pages (il faut expliquer quand même, on apprend de ses erreurs) ce n'est pas deux pages de script à toi, mais deux pages de posts!

Enjoy

The lsd

Edit : et évites les doubles posts...

Heu, je dirais plutôt qu'elle est supprimée dans les nouvelles versions (à partir de PHP 6)

Sinon, pour revenir au problème de gomanx.
Si tu veux désactiver les magic quotes dans php, il te faut, comme l'a dit the lsd, éditer le fichier de configuration de PHP qui se nomme php.ini comme ceci : magic_quotes_gpc = Off
Ou plus simplement sous Wamp, PHP > PHP settings > décocher l'option "magic quotes gpc"

Ui mais php 6 est pas encore sorti :p

Enjoy

The lsd

Merci

wamp 5 ?

3 pages pour que tu comprennes la question.
C'est pas grave, au contraire ça m'a bien fait rire.

up juste pour le fun !!  =)
"er" à tenté  .... dommage tu aurais pu le faire !!! tu y étais presque ^^ zut