Table des matières:
- Définition - Que signifie Cross Site Scripting (XSS)?
- Techopedia explique le Cross Site Scripting (XSS)
Définition - Que signifie Cross Site Scripting (XSS)?
Le Cross Site Scripting (XSS) est le processus d'ajout de code malveillant à un site Web authentique pour recueillir les informations de l'utilisateur dans un but malveillant. Les attaques XSS sont possibles grâce aux failles de sécurité trouvées dans les applications Web et sont couramment exploitées en injectant un script côté client. Bien que JavaScript soit généralement utilisé, certains attaquants utilisent également VBScript, ActiveX ou Flash.
Techopedia explique le Cross Site Scripting (XSS)
Lorsqu'une vulnérabilité XSS est exploitée avec succès, l'application serveur peut être sérieusement exposée à des risques majeurs. Par exemple, les utilisateurs peuvent être dupés dans l'exécution de scripts malveillants lors de l'affichage de pages générées dynamiquement. Une autre possibilité implique qu'un attaquant prenne le contrôle d'une session utilisateur avant l'expiration du cookie de session correspondant. Dans un autre cas encore, des utilisateurs innocents peuvent être connectés à un serveur malveillant.
Dans pratiquement tous les scénarios, le système d'une victime est attaqué en utilisant lui-même les privilèges de la victime. Les attaques peuvent alors évoluer en détournement de compte, vol de cookie, publicité mensongère et modifications des paramètres utilisateurs du compte de la victime.
Une façon d'atténuer les risques d'exploits XSS consiste à désactiver les scripts actifs dans les navigateurs. Malheureusement, cela supprime également la capacité d'un navigateur à exécuter des sites Web dynamiques et n'est pas une solution réaliste pour la plupart des utilisateurs.
