02-02-2010, 01:44 PM
@phenix : qui plus est, ta méthode pour les failles XSS n'est pas parfaite non plus, il est possible de spoofer une IP (remplacer son ip visible par une autre) et comme je l'ai indiqué plus haut également de modifier son id de session (en changeant le cookie).
Du coup dans ton cas, par exemple, si je réussit à récupérer l'id de session (j'aurais probablement aussi l'ip, du coup, avec un script bien conçu), je peux spoofer mon ip et demander une action sur ton serveur, et/ou une suite d'action, comme si j'étais quelqu'un d'autre.
Du coup dans ton cas, par exemple, si je réussit à récupérer l'id de session (j'aurais probablement aussi l'ip, du coup, avec un script bien conçu), je peux spoofer mon ip et demander une action sur ton serveur, et/ou une suite d'action, comme si j'étais quelqu'un d'autre.