Commentaires sur : Failles XSS : encoder les urls

Par : onblg

onblg — Sun, 22 Mar 2009 08:13:52 +0000

Merci beaucoup, je voulais justement faire des tests sur les .gov et edu

Par : BlackMelvyn

BlackMelvyn — Tue, 10 Feb 2009 14:52:36 +0000

Thanks
L’ancre demandée c’est celle qui apparaîtra sur la page visée, j’ai laissé “mon lien spammy” par défaut
Chacun pourra utiliser son ancre perso au moment de coller le code

Sinon, pour la taille des urls, je ne vois qu’une 301 vers les pages visées…

Par : HimSelf

HimSelf — Mon, 09 Feb 2009 23:35:34 +0000

Hello,
sympa comme outil,
mais t’as un soucis, l’ancre ne remplace pas le texte “mon lien spammy”.

en revanche, t’as pas une méthode pour faire des urls plus courtes ?
histoire d’ajouter du contenu au lien. Déjà testé mais beaucoup trop long pour gogole.

Par : BlackMelvyn

BlackMelvyn — Thu, 05 Feb 2009 20:13:00 +0000

Ben tu les mets là où bon te semble
Les caching proxies sont bien pour ça, je te conseille la lecture de l’article de Tiger sur le sujet

Par : Remi Turcotte

Remi Turcotte — Thu, 05 Feb 2009 14:14:29 +0000

où proposes-tu de mettre ces liens ? sur des blogs hostés par des 3rd party par exemple ?

Par : BlackMelvyn

BlackMelvyn — Tue, 03 Feb 2009 20:03:06 +0000

@Jice: Oui tu te trompes
En fait c’est rapidement abordé dans l’article. On parle de faille car c’est une vulnérabilité du site, et XSS pour Cross Site Scripting (attaque à distance) plus d’infos http://fr.wikipedia.org/wiki/Cross_site_scripting

Tiger a montré sur son blog http://www.seoblackout.com comment retrouver les sites vulnérables, notamment avec les formulaires de recherche, c’est pourquoi je reprends pas ce point là, je pense que tout le monde sait où trouver l’info

Le script permet d’encoder les paramètres de l’url et te donne le lien à coller dans le code source pour que les robots le suivent. C’est un outil de fainéants

Par : Jice

Jice — Tue, 03 Feb 2009 19:37:17 +0000

J’ai pas trop compris… il encode rien sur ta page d’exemple… il met juste le lien à la fin, et c’est tout. Je me trompe?

Tu l’utilises avec les failles sur des formulaires de recherche (article vu je sais plus où … peut être chez Tiger)… c’est du XSS ça? C’est une question naïve, j’ai jamais trop compris quand est-ce qu’une faille était XSS.

Sinon ça pourrait faire un bon article de préciser un peu comment tu cherches de tels sites : crawl brutal sur des résultats google puis tests sur la page cibles? à la main? avec des outils tout fait?

Bref, désolé, mais j’ai pas trop compris ce que ton script apportait :p mais le post a eu l’avantage de me rappeler qu’il fallait pas oublier les bons vieux trucs et astuces que nous fournissent les webmasters paresseux!

Par : Niko

Niko — Tue, 03 Feb 2009 07:58:55 +0000

ah ok c’est si simple que ca me paraissait trop facile (enfin après avoir vu ton script)

merci de l’info

Par : BlackMelvyn

BlackMelvyn — Mon, 02 Feb 2009 19:47:35 +0000

@Niko: en fait, tu dois faire indexer le lien ainsi obtenu, donc tu dois intégrer le code dans une page HTML que Google viendra visiter. De cette manière, il verra ce que tu veux lui montrer

Par : Niko

Niko — Mon, 02 Feb 2009 16:11:35 +0000

Au risque de passer pour un idiot,
le code obtenu, je le pose ou ?
je dois “”"hacker”"” la page cible pour y poser mon lien ou je visite le lien proposé ?
bref un peu d’éclaircissement pour m’aider à comprendre ne serait pas de refus