Pour accéder à l'écran d'administration d'aeSecure, vous devez être en possession d'une clef : il s'agit d'un code qu'il faut indiquer dans l'url comme ci-dessous (en gras) :

{jb_blackbox}http://votresite/aesecure/setup.php?qsf0A-4d1rx-gReTV-OpP8d-io2J4-u42Yx{/jb_blackbox}

En l'absence de la clef, aeSecure vous redirige vers une page "Accès refusé" avec un code "671 - Clef incorrecte (ou session expirée)".  Que faire si on l'a perdu ?

Une attaque XSS, également appelée Cross-Site Scripting, consiste dans la tentative d'injecter dans l'url des caractères qui ne sont pas autorisés et qui peuvent rediriger vers une autre page ou avoir une influence sur la page en cours.

Ainsi, une url comme celle-ci dessous est potentiellement dangereuse car le script index.php pourrait, s'il est mal écrit, ne pas faire de validation de la variable "name" transmise accepter ce qui suit "name=" comme le nom de l'utilisateur. Et, comme tout mauvais script, il pourrait ensuite faire très naïvement un "echo 'Bonjour "$_GET['name']"';" pour afficher un message de bienvenue à l'utilisateur. Dans ce cas-là, les cookies de la page seraient alors affiché; à cause du script qui a été insidieusement écrit dans l'URL.

Suite à un article d'Avril 2013 que Stéphane Bourderiou a partagé sur Facebook concernant le piratage et la technique du brute force, il m'a semblé intéressant de rédiger ce billet pour vous présenter ma manière de gérer mes mots de passe sur le web.

Je vais vous poser une petite question dont la réponse semble évidente : connaissez-vous vos mots de passe sur le web ? Si vous répondez oui, vous avez tout faux.

Page 5 sur 5

Prêt à sécuriser votre site web ? Télécharger