Scribd Logo
Importer

Bienvenue sur Scribd !

  • Cross Site Scripting (XSS) : Securite Des Applications

    Transféré par

    Ran 1
    12 vues9 pages
    ataque xss

    Titre original

    TP

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    ataque xss

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    12 vues9 pages

    Cross Site Scripting (XSS) : Securite Des Applications

    Transféré par

    Ran 1
    ataque xss

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 9

    2024

    Cross Site Scripting (XSS)

    SECURITE DES APPLICATIONS


    RANDA EL MAAZOUZA

    4EME ANNEE IIR , G2


    TP N° 1

    1. Connectez-vous à l'application DVWA en utilisant les identifiants et le mot de passe


    modifier ci-dessus :

    2. Cliquez sur l'option "DVWA Security" dans le menu et réglez le niveau de sécurité sur
    "low" :
    3. Sélectionnez l'option "XSS reflected" dans le menu. Le formulaire affiché est vulnérable
    aux attaques XSS. Affichez le code source du script de traitement en cliquant sur le
    bouton "source". Effectuez une attaque XSS réfléchie en injectant un script JavaScript
    dans le champ, ce qui affichera une fenêtre d'alerte :
    Se code PHP est vulnérable aux attaques XSS réfléchies. Il imprime le contenu de la variable
    GET 'name' directement dans la réponse sans aucune validation ou échappement, ce qui permet
    à un attaquant d'injecter du code JavaScript malveillant.
    4. Cliquez sur l'option "DVWA Security" dans le menu et réglez le niveau de sécurité sur
    "medium" :

    5. Retournez à la page "XSS reflected". Le script de traitement est maintenant protégé


    contre les injections de JavaScript ,Modifiez l'attaque précédente pour pouvoir à
    nouveau injecter le script JavaScript :
    La protection XSS empêche désormais l'exécution du script.

    Pour contourner cette protection, on peut essayer plusieurs techniques :

    Encodage URL : <script>alert('XSS réussi')</script>

    Encodage HTML : %3Cscript%3Ealert('XSS réussi')%3C/script%3E

    Évasion de filtre : <script>alert(String.fromCharCode(88,83,83))</script>

    Utilisation de balises alternatives : <body onload=alert('XSS réussi')>

    Exemple avec Mélange de casse :


    6. Cliquez sur l'option "DVWA Security" dans le menu et réglez le niveau de sécurité sur
    "high" :
    7. Retournez à la page "XSS reflected". Affichez le code source du script de traitement. Le
    script de traitement dispose maintenant d'une défense encore plus efficace contre les
    injections de balises. Est-il encore possible d'injecter un script JavaScript ou n'importe
    quelle balise HTML ?

    Lorsque le niveau de sécurité est réglé sur "high" dans DVWA (Damn Vulnerable Web
    Application), les protections contre les attaques XSS sont renforcées pour rendre plus difficile
    l'exploitation de ces vulnérabilités. Cependant, il est souvent encore possible de contourner ces
    défenses et d'injecter du code JavaScript malveillant ou d'autres balises HTML.

    Vous aimerez peut-être aussi