Données client

Jean-Marc Lecarpentier

 

Données client

Voir les cas classiques où les données fournies par le client peuvent être utilisées à des fins négatives

Travail personnel

Installation

Un site basique vous est fourni. Il permet de rédiger des articles avec une image d'illustration. Un article est en mode brouillon par défaut, et doit être validé afin d'être visible sur le site. Le site fourni permet simplement de lister les articles publiés et de faire une recherche d'article.

Installer sur votre serveur de développement le site fourni par cette archive. Il faut pour cela simplement modifier le fichier config.php pour y préciser les accès à votre serveur mySQL. Un fichier SQL est fourni pour avoir une base de démarrage.

Ne pas analyser le code source pour l'instant !

Expérimentation

Parcourir le site et analyser la navigation dans le site.

Utiliser le site et essayer de réaliser des opérations qui ne devraient pas l'être, par exemple :

  • Lister les articles non publiés.
  • Mettre du HTML qui "casse" la mise en page
  • Insérer du Javascript pour réaliser des "alert"
  • Publier un article
  • Modifier un article déjà publié
  • Modifier le pseudo de l'auteur d'un article
  • Réaliser une injection SQL
  • Afficher des données non permises.
  • Faire exécuter par le site du code PHP que vous avez écrit

Analyse du code source

En s'aidant du code source du site, réaliser les diverses "attaques" ci-dessus.

Correction de code

Corriger le code source du site pour ne plus être une cible potentielle.

Synthèse

Synthèse en groupe des problèmes relevés et de leurs solutions

 
Logo de Sydonie Tim Berners Lee, créateur de HTTP et HTML. A l'origine du Web, il dirige maintenant le W3C C'est avec Mosaic, premier navigateur graphique que le web pris réellement son essor en 1993
 
Fermer