XSS

De Design wiki
Aller à la navigation Aller à la recherche

Étymologie :

Définition :

XSS signifie le Cross-site Scripting

Fonctionnement :

Le Cross-site Scripting consiste à utiliser une plateforme web fragile, pour qu’il révoque un script malveillant aux internautes. Habituellement, il privilégie le langage JavaScript, toutefois, il est possible d’utiliser tous les langages de programmation côté client. Les hackers visent des sites web dont les fonctions sont fragiles et qui donnent accès aux utilisateurs, à savoir les formulaires de connexion, les barres de recherche, les zones de commentaire, etc.

Comme le JavaScript s’exécute sur la page du navigateur de la cible, des renseignements sensibles sur l’internaute authentifié sont exposés au vol lors de la session, permettant ainsi aux hackers de viser les administrateurs de sites et d’exposer les sites Web.


En fonction de la manière dont le code a été injecté, le contenu malveillant peut très bien ne pas se trouver sur la page authentique, mais elle peut devenir un élément de transition qui est totalement exclu du site qu’une fois au moment de l’exploitation. Cela peut engendrer l’illusion que le site web original est compromis, ce qui n’est pas le cas.

On distingue différentes façons de déclencher une attaque XSS. Tout d’abord, elle peut être créée automatiquement au moment du chargement de la page ou lorsqu’un internaute utilise sa souris sur des éléments caractéristiques d’une page tels que des hyperliens.

Le Cross-site Scripting peut aussi être réalisé directement, par exemple, dans un message d’email. Dans certains cas, une attaque par XSS ne cible pas de victime spécifique. Le pirate exploite juste une faiblesse dans un programme ou un site et espère juste qu’un visiteur tombe dessus.

En fonction de la grandeur de la frappe, la faille XSS peut engendrer :

  • la compromission des comptes utilisateurs ;
  • l’activation des trojans ;
  • la modification de page (dans le but de duper les utilisateurs et les conduire à divulguer des renseignements confidentiels) ;
  • la révélation des cookies de session (qui permet à un pirate d’usurper l’identité d’un utilisateur et d’exploiter leur compte personnel).

La réussite d’une attaque XSS peut engendrer des impacts dévastateurs pour la réputation d’une activité en ligne ou encore la relation avec les clients. Inopportunément, les failles à l’origine de ces attaques sont très répandues.


Référence :