Les Cas types de cybersécurité(Cross-site scripting (XSS))

Les attaques XSS utilisent des ressources Web tierces pour exécuter des scripts dans le navigateur Web de la victime ou dans une application pouvant être scriptée. Plus précisément, l’attaquant injecte un JavaScript malveillant dans la base de données d’un site Web. Lorsque la victime demande une page du site Web, le site Web transmet la page à son navigateur avec le script malveillant intégré au corps HTML. Le navigateur de la victime exécute ce script, qui envoie par exemple le cookie de la victime au serveur de l’attaquant, qui l’extrait et l’utilise pour détourner la session. Les conséquences les plus graves se produisent lorsque XSS sert à exploiter des vulnérabilités supplémentaires. Ces vulnérabilités peuvent non seulement permettre à un attaquant de voler des cookies, mais aussi d’enregistrer les frappes de touches et des captures d’écran, de découvrir et de collecter des informations réseau et d’accéder et de contrôler à distance l’ordinateur de la victime.


XSS peut être exploité avec VBScript, ActiveX et Flash, mais c’est JavaScript qui est le plus largement touché, principalement en raison de son omniprésence sur le Web.

Pour se défendre contre les attaques XSS, les développeurs peuvent assainir les données entrées par les utilisateurs dans leurs requêtes HTTP avant de les renvoyer. Assurez-vous que toutes les données sont validées, filtrées ou effacées avant de renvoyer quoi que ce soit à l’utilisateur, par exemple les valeurs des paramètres de requête lors de recherches. Convertissez les caractères spéciaux tels que ?, &, /, <, > et les espaces en leurs équivalents codés HTML ou URL. Offrez aux utilisateurs la possibilité de désactiver les scripts côté client.

- Commentaires

- Laisser un Commentaire