faille xss

Comme promis dans le titre, je vous donne 10 000 URL à spammer via faille xss :

http://www.univ-paris3.fr/servlet/com.jsbsoft.jtf.core.SG?%23ECRAN_LOGIQUE%23=RECHERCHE&PROC=RECHERCHE&ACTION=VALIDER&OBJET=TOUS&QUERY=%3Ch1%3E%3Ca+href%3D%22http%3A%2F%2Fwww.robin-d.fr%2F%22%3ERobin%3C%2Fa%3E%3C%2Fh1%3E

http://www.univ-lyon1.fr/servlet/com.jsbsoft.jtf.core.SG?%23ECRAN_LOGIQUE%23=RECHERCHE&PROC=RECHERCHE&ACTION=VALIDER&OBJET=TOUS&QUERY=%3Ch1%3E%3Ca+href%3D%22http%3A%2F%2Fwww.robin-d.fr%2F%22%3ERobin%3C%2Fa%3E%3C%2Fh1%3E

http://houches.ujf-grenoble.fr/servlet/com.jsbsoft.jtf.core.SG?%23ECRAN_LOGIQUE%23=RECHERCHE&PROC=RECHERCHE&ACTION=VALIDER&OBJET=TOUS&QUERY=%3Ch1%3E%3Ca+href%3D%22http%3A%2F%2Fwww.robin-d.fr%2F%22%3ERobin%3C%2Fa%3E%3C%2Fh1%3E

Inutile de continuer le massacre et parlons des failles XSS plus raisonnablement et commençons le billet.

Les failles XSS c’est assez chiant pour celui qui en a et relativement pratique pour ceux qui savent en profiter. En plus précis c’est quand vous pouvez ajouter du contenu dans une page via son url. Ces failles sont souvent présentes dans les moteurs de recherches internes et permettaient d’obtenir quelques backlinks de plus en utilisant un code du style recherche.php?q=recherche.php?q=<a href= »http://www.robin-d.fr »>Un blog fun</a> avec un code plus ou moins encodé et des url souvent trop longue.

Et bien je vous annonce que les failles XSS ne servent à rien pour nous pauvre référenceur :-) En effet après une batterie de tests j’ai le plaisir de vous annoncer qu’elles sont encore prises en compte par Yahoo et Bing comme à son habitude ne donne aucune réponse.

Vous avez combien de visiteurs venant de chez Yahoo ? … C’est bien ce que je pensais, prendre le temps de référencer une page contenant une faille XSS sera beaucoup plus long que de vous faire une dizaine de backlinks de qualité.

Il était important que chaque référenceur accorde son piano sur ce détail mais il faut savoir qu’elles ne sont pas totalement inutiles, elles seront toujours là comme chez apple il n’y a pas si longtemps.