naglafar a écrit :
Je viens de metre le doigt sur une faille assez importante qu'on peut mettre en place sur de très nombreux sites.
La barre Web Developper pour Firefox permet de modifier le code source d'une page (depuis l'onglet Miscellaneous). Jusqu'à là rien de très grave, mais là où ça devient plus embêtant c'est qu'on peut enregistrer ce code et continuer sur le site comme on le souhaite. Où est le problème ? Et bien tout simplement lorsqu'on est sur un formulaire, on peut ajouter des champs ou bien encore ajouter des options à un select. Ainsi, on a un champ select avec ce qu'on pourrait imaginer une valeur de champ limitée par x options mais en fait un utilisateur malveillant peut y ajouter tout et n'importe quoi ce qui ajoute en base une valeur non gérée et peux causer des troubles pour la gestion des données par la suite.
Je trouve que c'est particulièrement embêtant que l'utilisateur ait la possibilité de faire un peu ce qu'il veut en trifouillant et modifiant le code d'autant que c'est assez simple à faire et la seule solution que j'ai trouvée consiste au moment de l'ajout/modif dans la base de vérifier si les valeurs des champs select font partie de la liste autorisée, ce qui est particulièrement long à mettre en place.
Voilà, je voulais juste prévenir les créateurs de pae de cette info si ils n'étaient pas au courant. Il faut aussi faire très attention aux champs qui sont par exemple cachés pour un visiteur mais visibles pour un membre, car un visiteur avec cette astuce peut créer ce champ et lui donner la valeur qu'il veut.
|