Le cross-site scripting, ou XSS, est l’utilisation d’une faille de sécurité d’un site web offrant la possibilité à un hacker d’injecter du code JavaScript ou HTML et qu’une victime exécutera à son insu.
Agnė Augustėnė
Sep 08, 2021 · 4 min. de lecture
Sommaire
Les failles XSS ouvrent de grandes possibilités pour les pirates : installation de logiciels, récupérations des cookies de sessions, etc.
Découvrez ce qu’est le cross-site-scripting et comment se prémunir de ces attaques XSS.
Le cross-site scripting, appelé couramment XSS, est une cyberattaque qui utilise les failles de sécurité des sites Internet. Le XSS est une injection insidieuse de script sur un site Internet sécurisé.
L’injection de ce code déclenche des actions sur le navigateur, et donc sur l’utilisateur, qui visite la page infectée.
L’utilisation de faille XSS peut permettre à un hacker de dérober la session d’un utilisateur en récupérant ses cookies de session. Une autre façon d’utiliser le XSS est de diriger l’utilisateur vers un autre site pour de façon à ce qu’il soit victime de phishing. Les internautes malchanceux qui déclenchent ce script malveillant deviennent donc vulnérables.
L’exploitation la plus courante de XSS par les pirates est l’injection de code JavaScript directement dans la page HTML. Cependant, de nombreuses exploitations XSS peuvent être réalisées, car l’attaquant peut utiliser les différents langages pris en compte par le navigateur.
Il est possible de modifier le contenu d’une page HTML ou de contrôler le navigateur de la victime grâce aux XSS.
Lorsqu’elles sont exploitées, ces failles peuvent être très importantes avec de lourdes conséquences. Un cybercriminel peut faire un nombre de choses infini une fois qu’il a accès au navigateur web de sa victime.
Par le biais de XSS, les pirates peuvent diffuser leurs malwares à une grande quantité de personnes.
Le nom de cross-script scripting pour ces attaques vient du fait que le principe est d’injecter du code malveillant d’un site Internet frauduleux vers un site Internet inoffensif. Il s’agit d’un « croisement » de script d’un site à un autre.
Le principe d’une attaque XSS est d’utiliser un contenu malicieux, c’est-à-dire un contenu auquel l’utilisateur ne s’attend pas lorsqu’il est sur un site Internet qu’il pense sécurisé.
Une attaque XSS peut aller de la simple discréditation d’un site web en le modifiant, jusqu'au vol de données sensibles d’un utilisateur grâce à une prise de contrôle de son système d’exploitation.
Il existe trois types de XSS dont le principe est identique mais avec un fonctionnement différent.
Lors d’une attaque XSS stockée ou persistante (ou « stored XSS »), le hacker injecte les scripts malveillants directement sur le serveur web où ils seront stockés. Les scripts sont ainsi fournis aux utilisateurs à chaque chargement de la page en question, le contenu insidieux est retourné dans le navigateur à chaque visite du site Internet.
Dans le cas de XSS réfléchies ou reflétées (ou « reflected XSS » en anglais), les scripts malveillants n’existent que de manière temporaire et ne sont pas stockés sur le serveur. Ces codes sont envoyés à un serveur web par le biais d’une URL manipulée ou d’un formulaire préparé.
Lors d’une XSS réfléchie, le serveur retourne le script à l’utilisateur sans qu’il ne soit vérifié.
Les attaques XSS basées sur le DOM sont aussi appelées XSS locales (ou « DOM based xss » en anglais).
A l’inverse des attaques XSS stockées et réfléchies, lors d’une XSS basée sur le DOM, le serveur web n’est pas utilisé. L’attaque se passe directement dans le navigateur Internet de la victime. Dans cette situation, le code piraté est généralement exécuté lors du chargement d’une URL qui a été manipulée.
Il est assez complexe de se défendre contre les attaques XSS puisqu’elles visent les sites Internet et non votre ordinateur.
Se prémunir des attaques XSS n’est pas impossible, notamment en partant du principe que tous les éléments provenant d’Internet ne sont pas sécurisés. Prendre l’habitude de surveiller les adresses URL limite le risque de XSS : si vous apercevez quelque chose d’anormal, réfléchissez à deux fois avant d’entreprendre une action sur le site en question.
L’utilisation de navigateurs sécurisés et de logiciels mis à jour régulièrement permet également de limiter ces risques.
L’utilisation d’un pare-feu permet de se défendre contre les attaques XSS et l’utilisation d’un logiciel anti-virus sur votre ordinateur est vivement recommandée.
Découvrez comment les fonctionnalités de CyberSec peuvent vous aider à vous prémunir des attaques XSS.
Obtenez NordVPN, élu meilleur fournisseur de VPN