dwndoc

User Tools

Site Tools

Trace: testing_review_webpage_comments_and_metadata
hack:testing_review_webpage_comments_and_metadata

Table of Contents

testing_guide

Résumé

Test Boite noire

Identifier la version HTML (pour les numéros de version valides) et le type de données (DTD) d'une URL 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
"Strict.dtd" - par défaut DTD stricte
"Loose.dtd" -  DTD en vrac
"Frameset.dtd" - DTD pour les documents de cadres

Certaines balises Meta ne fournissent pas de vecteurs d'attaque actifs, mais permettent plutôt à un attaquant de profiler une application 

<META name="Author" content="Andrew Muller">
Certaines balises Meta modifient les en-têtes de réponse HTTP, tels que http-equiv qui définit un en-tête de réponse HTTP basé sur le contenu d'un attribut d'un élément meta

Ainsi l'élément meta : 

<META http-equiv="Expires" content="Fri, 21 Dec 2012 12:34:56 GMT">

se traduira dans l'en-tête HTTP: 

Expires: Fri, 21 Dec 2012 12:34:56 GMT

Et l'élément meta : 

<META http-equiv="Cache-Control" content="no-cache">

se traduira dans l'en-tête HTTP: 

Cache-Control: no-cache

Testez pour voir si cela peut être utilisé pour conduire des attaques par injection (par exemple attaque CRLF). Cela peut aussi aider à déterminer le niveau de fuites de données via le cache du navigateur.

Une balise Meta commune (mais non conforme WCAG) est l'actualisation. 

<META http-equiv="Refresh" content="15;URL=https://www.owasp.org/index.html">

Une utilisation courante pour la balise Meta est de spécifier des mots qu'un moteur de recherche peut utiliser pour améliorer la qualité des résultats de recherche. 

<META name="keywords" lang="en-us" content="OWASP, security, sunshine, lollipops">

Bien que la plupart des serveurs web permettent de gérer l'indexation des moteurs de recherche via le fichier robots.txt, cela peut également être géré par les balises Meta. La balise ci-dessous avisera robots de ne pas indexer et de ne pas suivre les liens sur la page HTML contenant la balise. 

<META name="robots" content="none">

La plate-forme for Internet Content Selection (PICS) et le Protocole de Description de Ressources Web (POUDRE) fournissent une infrastructure permettant d'associer des méta-données au contenu Internet.

Exemples

Test boîte grise

Références

Livres blancs

Outils

  • Wget
  • Fonction « view source » du Navigateur
  • Eyeballs
hack/testing_review_webpage_comments_and_metadata.txt · Last modified: 2019/02/13 13:10 by 127.0.0.1