Durée: 12 mois
Rubrique: Architecte cybersécurité
Le CrossSite Scripting, ou XSS, est une attaque qui se produit lorsque des scripts malveillants sont injectés dans des sites Web de confiance. Les attaques XSS exploitent les sites Web qui injectent des données non filtrées dans une nouvelle page Web sans validation ou encodage approprié. Les scripts malveillants peuvent être exécutés dans le navigateur de la victime, ce qui peut mener à la compromission des interactions de l'utilisateur avec l'application.
Il existe trois types d'attaques XSS : les attaques réfléchies, stockées et DOMbased.
Dans une attaque XSS réfléchie, le script malveillant est une partie de la demande HTTP et est reflété hors du serveur Web, dans le navigateur de l'utilisateur, qui l'exécute.
Avec une attaque XSS stockée, le script malveillant est envoyé au serveur où il est stocké pour être plus tard envoyé à chaque utilisateur dans la réponse HTTP.
Dans une attaque XSS basée sur le DOM, le script malveillant manipule l'arbre DOM du navigateur après chargement de la page, sans interaction directe avec le serveur.
Pour se protéger contre les attaques XSS, il est important d'utiliser des techniques de programmation sécurisées. Elles comprennent l'encodage des entrées utilisateur, la validation des données entrantes, l'utilisation de politiques de sécurité de contenu (CSP) et l'échappement de certaines informations potentiellement nuisibles.