[PDF] Failles web : Les XSS - Nouvelles Locales

Comment exploiter une faille XSS ?

Pour exploiter une faille XSS, un attaquant peut contourner le navigateur d’un utilisateur et injecter un script malveillant à partir de sources externes, de manière à ce que le navigateur ne soit pas capable de distinguer les scripts malveillants des légitimes.

Pourquoi les applications web ont-elles des attaques XSS ?

Les XSS sont dues à des failles de sécurité dans le code d’une application web. En effet, lorsqu’une application permet d’exécuter du code malveillant de la même manière que le code Javascript légitime, des attaques XSS sont possibles. Voyons cela plus en détail, étape par étape.

Quels sont les différents types d’XSS ?

Ce type d’XSS est compliqué à mettre en oeuvre dans un contexte réel selon moi. Les XSS les plus rependues restes les deux premières. À noter que la faille XSS Stored, est plus virale qu’une faille XSS Reflected compte tenu du fait qu’elle est stockée de manière permanente dans une base de données.

Pourquoi les failles XSS sont-elles non-persistantes ?

Les types de failles XSS Pourquoi les nomme-t-on non-persistantes ? Tout simplement parce qu’elles dépendent d’une donnée entrée par l’utilisateur et parce qu’elles ne sont pas « stockées » (lorsque l’on poste un message sur un forum, celui-ci est stocké dans une bdd et réaffiché lorsqu’une autre personne visite la page).