Cross Site Scripting (XSS) – Sachez ce que c’est et quels types il existe

Cross Site Scripting (xss) Sachez Ce Que C'est Et

Le monde numérique a ouvert les portes à l’existence de plusieurs menaces. Dans ce domaine, il est rare d’entendre parler d’attaques informatiques visant des personnes, des entreprises et des services.

Les attaques visent à exploiter les vulnérabilités, et l’une des plus connues est le Cross Site Scripting (XSS). Sachez ce que c’est.

Les attaques de type Cross-Site Scripting (XSS) consistent à injecter du code (ou des scripts malveillants) dans des sites Web. Les attaques XSS se produisent lorsqu’un attaquant est capable d’envoyer du code malveillant, généralement sous la forme d’un script côté navigateur, à un système distant.

Au travers d’un XSS, l’attaquant injecte par exemple du code JavaScript dans un champ texte d’une page existante et ce JavaScript est présenté aux autres utilisateurs car il persiste sur la page.

Types de Cross Site Scripting (XSS)

Les attaques XSS peuvent être classées en trois catégories :

  • Persistant : Le script injecté par l’attaquant est hébergé en permanence sur le serveur cible. Cela signifie que n’importe quel utilisateur peut exécuter un code malveillant sans aucune action spécifique. Il s’agit d’un type d’attaque XSS très dangereux, car le code peut être hébergé, dans un simple champ de commentaire, dans une base de données, etc.
  • Non persistant/Réfléchi : Dans ce cas, le script ne sera pas hébergé sur un serveur de destination et il est donc nécessaire de le faire parvenir à la victime. Cela peut se produire, par exemple, grâce à l’ingénierie sociale. Un moyen fréquent sera d’utiliser un lien distribué par le biais d’escroqueries par hameçonnage par courrier électronique. En cliquant sur le script, le code malveillant est exécuté dans le navigateur. Cette technique est la plus courante.
  • Basé sur DOM : Le troisième type d’attaque XSS exploite le Document Object Model (DOM), qui est l’interface qui définit la lecture de HTML et XML dans le navigateur. Le script est capable de modifier les propriétés des applications qui exécutent ces types d’extensions directement dans le navigateur, sans avoir besoin d’interagir avec le serveur pour effectuer une attaque. Dans ce cas, la faute réside dans la validation du code HTML ou XML dans le navigateur.

Cross Site Scripting XSS Sachez ce que cest et

La possibilité que des attaques utilisant des vulnérabilités XSS puissent être menées se produit parce que normalement les validations de données (par exemple, dans les formulaires) sont mal effectuées.

Un guide de prévention XSS gratuit est disponible sur le site Web de l’OWASP et peut être obtenu ici. Quiconque veut s’amuser et apprendre en même temps peut jouer à ce jeu Google.