XSS

De Design wiki
Aller à la navigation Aller à la recherche

Étymologie :

De l'anglais XSS est l'abréviation Cross-site Scripting.

Définition :

Le cross-site scripting est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5.

Fonctionnement :

Le Cross-site Scripting consiste à utiliser une plateforme web fragile, pour qu’il révoque un script malveillant aux internautes. Habituellement, il privilégie le langage JavaScript, toutefois, il est possible d’utiliser tous les langages de programmation côté client. Les hackers visent des sites web dont les fonctions sont fragiles et qui donnent accès aux utilisateurs, à savoir les formulaires de connexion, les barres de recherche, les zones de commentaire, etc.

Comme le JavaScript s’exécute sur la page du navigateur de la cible, des renseignements sensibles sur l’internaute authentifié sont exposés au vol lors de la session, permettant ainsi aux hackers de viser les administrateurs de sites et d’exposer les sites Web.


En fonction de la manière dont le code a été injecté, le contenu malveillant peut très bien ne pas se trouver sur la page authentique, mais elle peut devenir un élément de transition qui est totalement exclu du site qu’une fois au moment de l’exploitation. Cela peut engendrer l’illusion que le site web original est compromis, ce qui n’est pas le cas.

On distingue différentes façons de déclencher une attaque XSS. Tout d’abord, elle peut être créée automatiquement au moment du chargement de la page ou lorsqu’un internaute utilise sa souris sur des éléments caractéristiques d’une page tels que des hyperliens.

Le Cross-site Scripting peut aussi être réalisé directement, par exemple, dans un message d’email. Dans certains cas, une attaque par XSS ne cible pas de victime spécifique. Le pirate exploite juste une faiblesse dans un programme ou un site et espère juste qu’un visiteur tombe dessus.

En fonction de la grandeur de la frappe, la faille XSS peut engendrer :

  • la compromission des comptes utilisateurs ;
  • l’activation des trojans ;
  • la modification de page (dans le but de duper les utilisateurs et les conduire à divulguer des renseignements confidentiels) ;
  • la révélation des cookies de session (qui permet à un pirate d’usurper l’identité d’un utilisateur et d’exploiter leur compte personnel).

La réussite d’une attaque XSS peut engendrer des impacts dévastateurs pour la réputation d’une activité en ligne ou encore la relation avec les clients. Inopportunément, les failles à l’origine de ces attaques sont très répandues.


Référence :

  1. Wikipédia
  2. (en) DOM-Based cross-site scripting [archive]
  3. (en) http://namb.la/popular/tech.html [archive] : explication et source du ver
  4. (en)Apache Infrastructure Team, «  » [archive], sur The Apache Software Foundation, 2010 (consulté le 30 août 2012)
  5. ↑ «  » [archive], sur 01net.com, 23 septembre 2014 (consulté le 25 septembre 2014)
  6. ↑ Jeuxvideo.com cible d’une tentative de piratage [archive], lemonde.fr, 23 aou
Récupérée de « https://institut.design/DesignWiki/wiki/index.php?title=XSS&oldid=210 »