Qu'est-ce que le script intersite

Le Cross-Site Scripting, également appelé XXS, est une attaque malveillante qui injecte délibérément des scripts malveillants dans le navigateur Web d'un utilisateur. L'attaquant exécute un code malveillant dans une application Web ou une page Web, et dès que l'utilisateur visite l'application Web ou la page Web ; le script malveillant est automatiquement transmis au navigateur des utilisateurs.

Cross Site Scripting

De cette manière, l'attaquant prend le contrôle du navigateur de l'utilisateur ou de son compte sur un site Web spécifique. Cela signifie que cette attaque ne nuit pas à l'application Web elle-même, mais affecte les utilisateurs de cette application.

De plus, les scripts malveillants se transmettent généralement sous forme de code JavaScript. Cependant, les codes malveillants peuvent également exploiter les navigateurs des utilisateurs dans d'autres langages, notamment HTML, Ajax, Flash et Java.

Résumé de l'explication

Voici le bref résumé de l'explication des scripts intersites :

  • XXS est une attaque Web sur des pages Web ou des applications Web vulnérables
  • Cela nuit aux utilisateurs de l'application Web, pas à l'application elle-même
  • XXS transmet des programmes malveillants aux utilisateurs via JavaScript.

Comment fonctionne l'attaque Cross-Site Scripting (XXS) ?

Les attaques de scripts intersites se déroulent de manière à manipuler d'abord une application Web vulnérable avec un script malveillant, puis l'application Web transmet ce code JavaScript malveillant au navigateur de l'utilisateur.

Dès que le script malveillant entre dans le navigateur de l'utilisateur, l'attaquant peut facilement prendre le contrôle du navigateur de l'utilisateur.

Objectif des scripts intersites

Un attaquant effectue des attaques XXS pour les raisons suivantes :

  • Pour pirater un compte
  • Pour transmettre des logiciels malveillants et des virus sur des systèmes utilisant Internet
  • Pour accéder au contenu du presse-papiers et à l'historique du navigateur d'un utilisateur
  • Pour exécuter à distance le navigateur de l'utilisateur
  • Pour exploiter et accéder aux applications intranet

Exemples de scripts intersites

Certaines des sources les plus vulnérables pour l'injection de XXS sont les forums de discussion et les sites Web auto-hébergés qui permettent aux utilisateurs de publier des messages.

Maintenant, nous partageons un exemple simple de Cross-Site Script ci-dessous :

C'est un code JSP, dans lequel vous pouvez voir qu'une requête HTTP est faite, et le code lit un identifiant d'employé, eid, l'affichant à l'utilisateur.

Le code de cet exemple ne fonctionnera correctement que si le code (eid) inclut du texte alphanumérique standard.

Mais, si le même code (eid) utilise des métacaractères ou une valeur de code source, cela signifie que le code sera forcé par le navigateur Web à être affiché à l'utilisateur en tant que réponse HTTP.

Au départ, cela ne semble pas être une vulnérabilité majeure car personne ne saisirait jamais une URL malveillante. Cependant, la perturbation commence lorsqu'un attaquant crée un lien malveillant et incite les utilisateurs à visiter le lien caché dans l'URL.

Habituellement, l'attaquant trompe les utilisateurs par le biais de l'ingénierie sociale et des e-mails et incite les utilisateurs à visiter un lien malveillant.

Dès que l'utilisateur clique sur le lien malveillant, il renvoie involontairement le contenu malveillant de l'application web vers son propre système.

Le processus de renvoi du contenu malveillant est appelé XXS réfléchi. Les attaques XXS provoquent de graves perturbations qui ont souvent conduit à des falsifications et à de graves vols de données.

Types de scripts intersites

  1. XSS stocké/persistant

L'attaque XSS stockée/persistante est la forme la plus perturbatrice d'une attaque XSS dans laquelle un attaquant transmet un script permanent sur l'application Web. Les utilisateurs sont victimes de scripts malveillants lorsqu'une demande est effectuée sur le serveur.

  1. Réfléchi XXS

Ce type de Cross-Site Scripting n'implique pas d'attaquer directement le serveur. Il utilise des e-mails pour inciter les utilisateurs à exécuter des scripts malveillants dans le navigateur. Le navigateur pense qu'il s'agit d'un script de confiance et, par conséquent, tout le contenu malveillant se reflète dans le navigateur de l'utilisateur.

  1. Attaques basées sur DOM

Les attaques basées sur DOM sont moins courantes et sont différentes en ce sens qu'elles ne perturbent jamais le code côté serveur, elles ne reposent que sur les scripts côté client.

DOM fait référence au modèle d'objet de document qui est une interface de programmation d'application (API) pour les documents HTML et XML. Les attaques basées sur DOM ont lieu uniquement lorsqu'une application Web affiche des données utilisateur dans un modèle d'objet de document.

L'application Web lit les données de l'utilisateur et les transmet au navigateur. Si les données utilisateur ne sont pas sécurisées, un attaquant peut facilement stocker des scripts malveillants dans le DOM.

Comment déterminer la vulnérabilité de votre site Web

Vous pouvez facilement contrôler la vulnérabilité de votre site Web grâce à des scanners de vulnérabilité Web tels que Nessus, Nikto, Vega, Grab, WebScarab et bien d'autres disponibles.

Il est important de procéder soigneusement à un examen de sécurité du code et de découvrir toutes les failles de sécurité possibles qui pourraient permettre à l'entrée d'une requête HTTP d'accéder à la sortie HTML.

Gardez à l'esprit qu'une variété de balises HTML peuvent être utilisées pour exécuter un JavaScript malveillant. Par conséquent, il est important d'analyser un site Web via des scanners de sécurité Web.

Dans le cas où une partie du site Web est vulnérable, il est possible que l'ensemble du site Web soit victime de dommages.

Comment empêcher les attaques de type Cross-Site Scripting

  1. Échapper l'entrée utilisateur

L'échappement de l'entrée utilisateur est une méthode pour empêcher les attaques XXS. Dans cette méthode, vous devez vous assurer que les données que votre application Web est sur le point de renvoyer au navigateur Web des utilisateurs sont sécurisées.

WordPress et PHP comprennent des fonctions qui nettoient automatiquement les données que vous produisez.

  1. Validation des entrées

La validation des entrées est le processus par lequel toutes les données fournies par une application Web sont minutieusement contrôlées et vérifiées avant d'être renvoyées au navigateur des utilisateurs.

Les applications Web doivent vérifier et valider les données avant d'entrer dans d'autres systèmes. Il aide à détecter tout lien ou programme malveillant destiné à attaquer les systèmes des utilisateurs.

Conclusion

Les attaques XXS sont courantes et peuvent perturber la vie privée des utilisateurs, cependant, il est facile de tester et d'empêcher vos applications Web contre les scripts malveillants.

Les applications Web doivent constamment nettoyer leur entrée avant de l'envoyer directement au navigateur des utilisateurs. De plus, des analyses Web régulières aideront les applications Web à déterminer s'il existe une vulnérabilité.

Prenez le contrôle de votre vie privée dès aujourd'hui ! Débloquez les sites Web, accédez aux plateformes de streaming et contournez la surveillance des FAI.

Obtenez FastestVPN
S'abonner à l'infolettre
Recevez les publications tendances de la semaine et les dernières annonces de FastestVPN via notre newsletter par e-mail.
icône (sur le bord gauche de l'écran)
0 0 votes
Évaluation de l'article

Tu peux Aussi comme

Inscrivez-vous
Notifier de
invité
0 Commentaires
Commentaires en ligne
Voir tous les commentaires

Obtenez l'offre de votre vie pour $ 40!

  • Serveurs 800 +
  • Vitesses de 10 Gbit/s
  • WireGuard
  • Double VPN
  • 10 connexions d'appareils
  • Remboursement 31-jour
Obtenez FastestVPN