XSS Sites web piégés

Scripting intersite
Trois types d’attaques XSS Stocké, Réfléchi et DOM
Exemples de scripts intersites

Scripting intersite

Le cross-site scripting (XSS) est une attaque par incorporation de scripts dans les formulaires de saisie d’un site web. Ces scripts peuvent être utilisés pour voler des informations sensibles telles que les données de connexion ou les données personnelles que les utilisateurs partagent avec les applications web.

Trois types d’attaques XSS Stocké, Réfléchi et DOM

XSS stocké (XSS persistant)

Les attaques XSS stockées se produisent lorsque des scripts malveillants sont stockés en permanence sur le serveur cible. Lorsqu’un utilisateur accède à une page affectée, le script est envoyé au navigateur et exécuté. Ce type d’attaque est également appelé XSS persistant car il est stocké en permanence.

XSS réfléchi (XSS non persistant)

Les attaques XSS réfléchies incitent les utilisateurs à cliquer sur des liens contenant des scripts malveillants. Lorsque l’utilisateur clique sur le lien, le script est envoyé au serveur et répercuté dans le navigateur de l’utilisateur, où il est exécuté. Également connu sous le nom de XSS non persistant.

XSS basé sur le DOM

Les attaques XSS basées sur le DOM manipulent le modèle d’objet de document, l’interface de programmation d’un document web. L’attaquant manipule l’environnement DOM du navigateur de la victime, qui est utilisé par le script côté client d’origine, de sorte que le code côté client est exécuté de manière inattendue.

Exemples de scripts intersites

Un exemple d’attaque XSS pratique est une campagne d’hameçonnage qui envoie des courriels ou des messages DM sur les réseaux sociaux à un grand nombre de personnes.

Un pirate peut utiliser une attaque XSS pour injecter un script dans un site web bancaire, par exemple. Lorsque l’utilisateur se connecte, le script récupère les informations de connexion, en particulier ce qui a été tapé et les informations sur les cookies, et les envoie à l’attaquant.

On peut en trouver sur des sites de réseaux sociaux comme Instagram et Twitter, qui sont utilisés quotidiennement en plus du courrier électronique, il faut donc être sur ses gardes. De même, les pièges sur les sites financiers sont en fait assez courants, alors soyez très prudents.