LBE Privacy

Aujourd’hui, je vais vous parler d’une petite application gratuite sous Android : LBE Privacy.

Cette application ne fonctionne que pour les téléphones rootés (téléphone fonctionnant en mode administrateur), désolé pour les autres.

L’intérêt LBE Privacy est de vous permettre de modifier les autorisations des autres applications. Vous pouvez décider ainsi de bloquer l’accès à l’identifiant unique de votre téléphone, au GPS, aux contacts, aux sms et ainsi de suite.
Nous pouvons régler facilement les droits, car LBE Privacy est très intuitive. L’image ci-dessous est un screenshot de l’application.

Screenshot de LBE Privacy

Screenshot de LBE Privacy

Vous avez le choix d’effectuer les réglages par thèmes (screenshot ci-dessu) ou par application.
Si vous choisissez par thème, vous verrez apparaitre toutes les applications voulant accéder aux informations du thème choisi.
Si vous affichez par applications, vous verrez toutes vos appli. Vous n’avez qu’à cliquer sur l’une d’entre elles pour modifier les droits que vous souhaitez lui accorder.

Je vous recommande cette petite application car elle vous redonne le choix des données accessibles.

Faille XSS dans les commentaires sous WordPress

Pour mon premier article un peu technique, je vais vous parler d’une faille XSS dans les commentaires de WordPress. Je vais essayer de ne pas être trop barbant pour les néophytes.

Une faille XSS quésako ?

Wikipedia nous donne la définition suivante :

Le cross-site scripting, abrégé XSS, est un type de faille de sécurité des sites web, que l’on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d’informations, etc.).

Une faille XSS peut facilement être découverte en écrivant par exemple le code suivant : <script type= »text/javascript »>alert(‘Il y a une faille css »);</script>

C’est ce que j’ai fait pour les commentaires et j’ai eu le droit à une belle pop up, prouvant ainsi la faille.

Partie correction

Découvrir une faille c’est bien, pouvoir la corriger c’est mieux ! 🙂

Pour cela, j’ai modifié le fichier wp-comments-post.php présent dans le dossier WordPress. Il suffit d’ajout htmlspecialchars pour les variables : comment_author (récupère le nom de l’auteur), comment_author_email (récupère l’email), comment_author_url (récupère l’url de l’auteur) et comment_content (récupère le contenu du commentaire).

Et voila, en 1min les commentaires sont insensibles aux attaques XSS.

Ouverture du blog Dvalin

Bienvenue à tous.
Je suis content de créer ce blog. Mon objectif est tout d’abord de me faire plaisir à écrire sur différents sujets informatiques, et ainsi essayer de faire découvrir de nouvelles choses.

Je suis ouvert à la critique, si elle est constructive ou positive tout simplement 🙂 Donc n’hésitez pas à laisser un commentaire.