Les failles XSS sont les failles qui sont le plus à redouter en ce moment. L’exécution de code JavaScript par injection chez le client permet notamment de récupérer de précieux cookie et autre. L’exemple ici peut être assez courant si le développeur n’est pas assez attentionné sur le code qu’il produit.
La technique s’applique sur la superglobale PHP : $_SERVER
et notamment sur la valeur de $_SERVER['PHP_SELF']
(qui renvoie le nom du script exécuté) qui est très souvent utilisé dans les formulaires.
Julien Pauli vous explique comment exploiter la faille et évidemment comment vous en protéger.