vendredi 22 mai 2009

Quelques XSS pour la route

Quelques petits XSS trouvés dernièrement.

mypictures.bell.ca
On pourrait être porté à croire que je m'acharne sur Bell Canada mais je ne le fait vraiment pas intentionnellement.


familyguydirect.com
J'attire votre attention sur l'erreur SQL au haut de la page (Injection anybody?) .


samedi 2 mai 2009

Visualiser le code source d'un logiciel

En tant qu'informaticien, il m'arrive souvent de lire le code source d'un logiciel, que ce soit pour en comprendre le fonctionnement, pour y faire des modifications ou pour trouver des problèmes de sécurité. Un logiciel pouvant facilement être composé de plusieurs milliers de lignes de code, des moyens pour comprendre la structure du code deviennent essentiels.

Lorsque j'explore le code source d'un nouveau logiciel, j'utilise WinDirStat. WinDirStat représente graphiquement un dossier en fonction de la taille et du type des fichiers. Si ce logiciel est fort utile pour trouver les fichiers occupant le plus d'espace sur un disque dur, il permet aussi de connaitre rapidement la structure d'un logiciel à partir de son code source.


Cette image représente le code source de l'IDS OSSEC vu par WinDirStat. On peut facilement voir les fichiers les plus volumineux. Les fichiers en bleu représentent du code source en langage C. On peut voir que la section du code de syscheck, encadrée en blanc, est une portion importante du logiciel.

WinDirStat est un logiciel libre et gratuit pour Windows. La prochaine version devrait permettre de sauvegarder le résultat d'un analyse, une fonction pratique pour les codes sources volumineux.

Pour terminer, je vous conseille fortement de lire Security Data Visualization de Greg Conti. Il y présente plusieurs méthodes pour représenter visuellement des données pour y distinguer des situtations difficiles à identifier autrement.