Académique Documents
Professionnel Documents
Culture Documents
La faille XSS, de son nom complet Cross-Site Scripting, est une faille qui permet d’injecter du
code HTML et/ou Javascript dans des variables ou bases de données mal protégées.
Les attaques de type Cross-Site Scripting (XSS) sont un type d'injection, dans
lequel des scripts malveillants sont injectés dans des sites Web. Cette attaque ne
vise pas directement le site comme le ferait une injection SQL mais concerne plutôt la partie
client c'est-à-dire vous (ou plutôt votre navigateur). Ce dernier ne fera aucune différence entre le
code du site et celui injecté par le pirate.Les possibilités sont nombreuses : redirection vers un
autre site, vol de cookies, modification du code HTML de la page, exécution d'exploits contre le
navigateur.
La page va donc vous afficher les prévisions météo pour Lyon, en réutilisant le nom
de la ville qui se trouve dans l’URL.
Le pirate pourra utiliser cette URL pour fournir un contenu malicieux comme ceci:
www.victim-website-example.com/previsionsmeteo?ville=Lyon[contenu malicieux]
Avec un tel contenu dans l’URL, le serveur web va donc afficher les prévisions météo
pour Lyon, mais va potentiellement aussi inclure le contenu dangereux dans la page.
Cause plus de
dommages à Provoque moins de dommages à l’application Web ou au
l’application Web ou au site Web.
site Web.
les attaques XSS réfléchies et DOM-based doivent être placées dans les
paramètres d’une requête, en particulier dans l’URL.