Excite

Gare aux injections XSS

Les attaques par injection ont pour but de s’approprier les données personnelles des utilisateurs. Cette technique est appelée le XSS, ce qui signifie Cross Site Scripting.

Grâce à elle, le pirate informatique peut insérer un script malveillant dans un navigateur Web client, ainsi que différents types de balises, afin de voler des informations de la session Web ainsi que des cookies d'authentification.

Le procédé

La technique est très simple. Il suffit d’entrer sur une page web dans laquelle l’utilisateur peut saisir ses informations personnelles, comme son login, son adresse email et un texte libre. Ce genre de page se trouve notamment sur les forums de discussion. Si le texte libre est un script Javascript, par exemple, alors l'affichage de ce texte dans la liste des réponses du forum va déclencher l'exécution du script.
Le serveur, lui ne subira aucune altération. Seul l'utilisateur, qui navigue sur la page contenant la liste des réponses du forum, sera affecté, en étant d’abord automatiquement redirigé sur un autre site. Ce dernier, visuellement identique au précédent exigera de l'utilisateur de s'authentifier à nouveau, ce qui va permettre au pirate de voler l'identifiant et le mot de passe de l’internaute.

La règle de base en ce qui concerne les administrateurs de sites Internet, est donc de ne jamais faire confiance aux données saisies par un utilisateur. Toute entrée doit faire l’objet de méfiances en étant testée avant sa sauvegarde dans la base de données du site.

Photo : Flickr – English Guy
photo originale

France - Excite Network Copyright ©1995 - 2017