Xss et injection sql:Preambule

From aldeid
Jump to navigation Jump to search

Objet du document

Le présent document a deux ambitions :

  • Exposer les risques liés au Cross Site Scripting (XSS) ainsi qu'aux injections SQL ;
  • Etudier les moyens de combler ces failles de sécurité

Intérêt du document

Il existe plusieurs types de développements :

  • Le développement de petites et moyennes applications qui ne nécessitent pas l'utilisation d'un framework ;
  • Le développement d'applications plus importantes où l'utilisation d'un framework est un atout en terme de productivité.

La plupart des frameworks sont aujourd'hui bien conçus en ce sens qu'ils intègrent (à condition d'utiliser les fonctions prévues à cet effet) des sécurités contre les problèmes traités dans ce document. En revanche, la programmation d'applications "from scratch" (ex-nihilo) est bien souvent une cible de choix pour les hackers, a fortiori si l'application est ouverte sur Internet.

Limitations du document

Ce document n'a pas pour but :

  • De vous apprendre comment exploiter des failles de XSS ou d'injection SQL ;
  • De vous apprendre à ne plus programmer sans faille de sécurité,

Mais :

  • De vous sensibiliser à certaines failles
  • De vous apporter des bases afin de sécuriser a minima vos applications.


Remarque :
Les exemples de cet article sont programmés en PHP mais peuvent être appliqués à d'autres langages Web.




 
Cross Site Scripting (XSS)