Accueil Développement Qu'est-ce qu'un trou xss? - définition de techopedia

Qu'est-ce qu'un trou xss? - définition de techopedia

Table des matières:

Anonim

Définition - Que signifie trou XSS?

Un trou XSS est une application Web qui rend le contenu dynamique aux utilisateurs présentant une vulnérabilité de sécurité informatique. Cette application est du cross-site scripting (XSS), et elle permet à un attaquant d'exploiter les données confidentielles d'un utilisateur sans passer par un mécanisme de contrôle d'accès tel qu'une politique de même origine. Ce défaut est mieux connu sous le nom de trou XSS.

Techopedia explique XSS Hole

Par exemple, l'utilisateur peut rencontrer un lien hypertexte dans une application Web pointant vers du contenu malveillant. L'utilisateur peut cliquer sur le lien et être dirigé vers une autre page contenant certains ou un bulletin électronique. Cette page rassemble des informations utilisateur sous forme de mot de passe. Il génère également une page de sortie malveillante qui indique une fausse réponse adaptée pour apparaître authentique à l'utilisateur. Soit les données saisies par l'utilisateur peuvent être utilisées à mauvais escient, soit la session de l'utilisateur peut être détournée par vol de cookies. En fonction de la sensibilité des données collectées, les scripts intersites peuvent aller d'une simple vulnérabilité à une faille de sécurité grave. Après exploitation de la vulnérabilité XSS, l'attaquant peut contourner les stratégies de contrôle d'accès de l'organisation.

Le concept de script intersite est basé sur la même politique d'origine. Les mêmes politiques d'origine stipulent qu'un navigateur Web utilisant JavaScript peut accéder à différentes propriétés et méthodes appartenant au même site sans aucune restriction. Les attaquants malveillants peuvent exploiter le concept de la même stratégie d'origine en injectant du code malveillant dans un site Web à l'aide de JavaScript. Lorsque les pages Web sont consultées par les utilisateurs, les attaquants peuvent recueillir des informations utiles sur l'utilisateur, telles qu'un nom d'utilisateur ou un mot de passe.

Selon les statistiques recueillies par Symantec en 2007, les scripts intersites représentent 80% de toutes les attaques de sécurité exécutées à l'aide d'ordinateurs. Il existe trois types de scripts intersites:

  • XSS non persistant: le type de script intersite non persistant est visible pendant les requêtes HTTP dans lesquelles le client incorpore des données dans une requête HTTP. Lorsque le serveur utilise des données envoyées par le client pour générer des pages, les trous XSS peuvent être actifs si la demande n'a pas été correctement filtrée. Les pages HTML sont composées à la fois de contenu et de présentation. Si l'utilisateur malveillant ajoute du contenu qui n'a pas été validé, une injection de balisage se produit. L'utilisateur compromettra sa sécurité en saisissant les informations demandées par le code malveillant. L'attaquant peut induire en erreur l'utilisateur vers une URL différente, qui peut contenir un virus plus sophistiqué et acquérir des informations importantes sur l'utilisateur.
  • XSS persistant: le contenu malveillant injecté par l'attaquant est enregistré côté serveur et toutes les autres demandes des clients accèdent au contenu modifié, ce qui pose un grave risque pour la sécurité. Par exemple, certains forums permettent à l'utilisateur de publier des messages au format HTML. Par conséquent, un attaquant peut incorporer un code JavaScript pour présenter une zone de texte malveillante afin de collecter des informations telles qu'un mot de passe. L'attaquant peut également configurer le code JavaScript pour enregistrer et transmettre chaque mot de passe entré dans le champ de texte.
  • DOM basé sur XSS: le modèle d'objet de document (DOM) est une structure arborescente qui représente toutes les balises qui apparaissent dans un document conforme aux normes XML. DOM est utilisé en JavaScript pour accéder et manipuler les balises HTML et le contenu des balises. Un attaquant peut injecter un morceau malveillant de code JavaScript qui contient des instructions DOM appropriées pour accéder et modifier des informations importantes sur l'utilisateur. Par exemple, l'attaquant peut utiliser DOM pour rediriger les informations de l'utilisateur par une soumission incorrecte vers un site Web malveillant tiers.
Qu'est-ce qu'un trou xss? - définition de techopedia

Données numériques: pourquoi ce qui est collecté est important

Données numériques: pourquoi ce qui est collecté est important

En juin 2012, la Federal Trade Commission a imposé une amende de 800 000 $ à Spokeo, un collecteur de données. La FTC a déclaré que Spokeo avait violé la Fair Credit Reporting Act en commercialisant ses profils de consommateurs sans faire ...

Non, ce n'est pas ma main là-dedans! pourquoi le marketing de sockpuppet est une mauvaise nouvelle

Non, ce n'est pas ma main là-dedans! pourquoi le marketing de sockpuppet est une mauvaise nouvelle

Le marketing de Sockpuppet semble mignon et amusant, invoquant immédiatement des scènes de la télévision pour enfants. (Lamb Chop, n'importe qui?) Certaines entreprises utilisent des marionnettes en marketing vidéo, comme cette campagne 2012 avec la Ford Focus ...

Qu'est-ce que le $ @! est le bitcoin?!

Qu'est-ce que le $ @! est le bitcoin?!

Quelle autre devise attire autant d'attention que le bitcoin? Il y a de fortes chances que vous n'entendiez pas beaucoup parler du dollar américain ou du renimbi chinois, mais les nouvelles du bitcoin semblent avoir un certain sex-appeal. Est-ce que l'accent est mis sur le virtuel ...

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fr.theastrologypage.com, 2026 Avril | À propos du site | Contacts | Politique de confidentialité.