- FastestVPN
- Confidentialité et sécurité
- Qu'est-ce que le script intersite
Qu'est-ce que le script intersite
By Christine Margret Commentaires 5 minutes
Le Cross-Site Scripting, également appelé XXS, est une attaque malveillante qui injecte délibérément des scripts malveillants dans le navigateur Web d'un utilisateur. L'attaquant exécute un code malveillant dans une application Web ou une page Web, et dès que l'utilisateur visite l'application Web ou la page Web ; le script malveillant est automatiquement transmis au navigateur des utilisateurs.
De cette manière, l'attaquant prend le contrôle du navigateur de l'utilisateur ou de son compte sur un site Web spécifique. Cela signifie que cette attaque ne nuit pas à l'application Web elle-même, mais affecte les utilisateurs de cette application.
De plus, les scripts malveillants se transmettent généralement sous forme de code JavaScript. Cependant, les codes malveillants peuvent également exploiter les navigateurs des utilisateurs dans d'autres langages, notamment HTML, Ajax, Flash et Java.
Résumé de l'explication
Voici le bref résumé de l'explication des scripts intersites :
- XXS est une attaque Web sur des pages Web ou des applications Web vulnérables
- Cela nuit aux utilisateurs de l'application Web, pas à l'application elle-même
- XXS transmet des programmes malveillants aux utilisateurs via JavaScript.
Comment fonctionne l'attaque Cross-Site Scripting (XXS) ?
Les attaques de scripts intersites se déroulent de manière à manipuler d'abord une application Web vulnérable avec un script malveillant, puis l'application Web transmet ce code JavaScript malveillant au navigateur de l'utilisateur.
Dès que le script malveillant entre dans le navigateur de l'utilisateur, l'attaquant peut facilement prendre le contrôle du navigateur de l'utilisateur.
Objectif des scripts intersites
Un attaquant effectue des attaques XXS pour les raisons suivantes :
- Pour pirater un compte
- Pour transmettre des logiciels malveillants et des virus sur des systèmes utilisant Internet
- Pour accéder au contenu du presse-papiers et à l'historique du navigateur d'un utilisateur
- Pour exécuter à distance le navigateur de l'utilisateur
- Pour exploiter et accéder aux applications intranet
Exemples de scripts intersites
Certaines des sources les plus vulnérables pour l'injection de XXS sont les forums de discussion et les sites Web auto-hébergés qui permettent aux utilisateurs de publier des messages.
Maintenant, nous partageons un exemple simple de Cross-Site Script ci-dessous :
C'est un code JSP, dans lequel vous pouvez voir qu'une requête HTTP est faite, et le code lit un identifiant d'employé, eid, l'affichant à l'utilisateur.
Le code de cet exemple ne fonctionnera correctement que si le code (eid) inclut du texte alphanumérique standard.
Mais, si le même code (eid) utilise des métacaractères ou une valeur de code source, cela signifie que le code sera forcé par le navigateur Web à être affiché à l'utilisateur en tant que réponse HTTP.
Au départ, cela ne semble pas être une vulnérabilité majeure car personne ne saisirait jamais une URL malveillante. Cependant, la perturbation commence lorsqu'un attaquant crée un lien malveillant et incite les utilisateurs à visiter le lien caché dans l'URL.
Habituellement, l'attaquant trompe les utilisateurs par le biais de l'ingénierie sociale et des e-mails et incite les utilisateurs à visiter un lien malveillant.
Dès que l'utilisateur clique sur le lien malveillant, il renvoie involontairement le contenu malveillant de l'application web vers son propre système.
Le processus de renvoi du contenu malveillant est appelé XXS réfléchi. Les attaques XXS provoquent de graves perturbations qui ont souvent conduit à des falsifications et à de graves vols de données.
Types de scripts intersites
XSS stocké/persistant
L'attaque XSS stockée/persistante est la forme la plus perturbatrice d'une attaque XSS dans laquelle un attaquant transmet un script permanent sur l'application Web. Les utilisateurs sont victimes de scripts malveillants lorsqu'une demande est effectuée sur le serveur.
Réfléchi XXS
Ce type de Cross-Site Scripting n'implique pas d'attaquer directement le serveur. Il utilise des e-mails pour inciter les utilisateurs à exécuter des scripts malveillants dans le navigateur. Le navigateur pense qu'il s'agit d'un script de confiance et, par conséquent, tout le contenu malveillant se reflète dans le navigateur de l'utilisateur.
Attaques basées sur DOM
Les attaques basées sur DOM sont moins courantes et sont différentes en ce sens qu'elles ne perturbent jamais le code côté serveur, elles ne reposent que sur les scripts côté client.
DOM fait référence au modèle d'objet de document qui est une interface de programmation d'application (API) pour les documents HTML et XML. Les attaques basées sur DOM ont lieu uniquement lorsqu'une application Web affiche des données utilisateur dans un modèle d'objet de document.
L'application Web lit les données de l'utilisateur et les transmet au navigateur. Si les données utilisateur ne sont pas sécurisées, un attaquant peut facilement stocker des scripts malveillants dans le DOM.
Comment déterminer la vulnérabilité de votre site Web
Vous pouvez facilement contrôler la vulnérabilité de votre site Web grâce à des scanners de vulnérabilité Web tels que Nessus, Nikto, Vega, Grab, WebScarab et bien d'autres disponibles.
Il est important de procéder soigneusement à un examen de sécurité du code et de découvrir toutes les failles de sécurité possibles qui pourraient permettre à l'entrée d'une requête HTTP d'accéder à la sortie HTML.
Gardez à l'esprit qu'une variété de balises HTML peuvent être utilisées pour exécuter un JavaScript malveillant. Par conséquent, il est important d'analyser un site Web via des scanners de sécurité Web.
Dans le cas où une partie du site Web est vulnérable, il est possible que l'ensemble du site Web soit victime de dommages.
Comment empêcher les attaques de type Cross-Site Scripting
Échapper l'entrée utilisateur
L'échappement de l'entrée utilisateur est une méthode pour empêcher les attaques XXS. Dans cette méthode, vous devez vous assurer que les données que votre application Web est sur le point de renvoyer au navigateur Web des utilisateurs sont sécurisées.
WordPress et PHP comprennent des fonctions qui nettoient automatiquement les données que vous produisez.
Validation des entrées
La validation des entrées est le processus par lequel toutes les données fournies par une application Web sont minutieusement contrôlées et vérifiées avant d'être renvoyées au navigateur des utilisateurs.
Les applications Web doivent vérifier et valider les données avant d'entrer dans d'autres systèmes. Il aide à détecter tout lien ou programme malveillant destiné à attaquer les systèmes des utilisateurs.
Pour aller plus loin
Les attaques XXS sont courantes et peuvent perturber la vie privée des utilisateurs, cependant, il est facile de tester et d'empêcher vos applications Web contre les scripts malveillants.
Les applications Web doivent constamment nettoyer leur entrée avant de l'envoyer directement au navigateur des utilisateurs. De plus, des analyses Web régulières aideront les applications Web à déterminer s'il existe une vulnérabilité.
Prenez le contrôle de votre vie privée dès aujourd'hui ! Débloquez les sites Web, accédez aux plateformes de streaming et contournez la surveillance des FAI.
Obtenez FastestVPNObtenez l'offre de votre vie pour $ 40!
- Plus de 800 serveurs pour du contenu mondial
- Des vitesses de 10 Gbit/s pour zéro décalage
- WireGuard renforce la sécurité VPN
- Double protection du serveur VPN
- Protection VPN pour jusqu'à 10 appareils
- Politique de remboursement complet de 31 jours