• http://www.benoitpiette.com/labo/presentationxss.html

• Faiblesse d’un site web;
• DHTML envoyé en paramètre;

• Affecte le client plutôt que le serveur
• Très difficile à détecter – pare-feu n’ont pas d’effet
• XSS permanent et transitoire
• Nécessite de l’ingénierie sociale

• Vol d’identité
• Attaque de l’image d’une entreprise

• Toutes les applications, mais en particulier:
  • Webmail
  • Sites de commerce
  • Blogues
  • Clavardage

Plusieures méthodes, en particulier injection de JavaScript. Exploitation des trous de sécurité des navigateurs.

Exemples

Webmails

• JavaScript dans le email
• Cookie envoyé par le serveur
• C’est le JavaScript qui va accéder au cookie et rediriger le client vers un autre serveur
• Transparent pour le client
• Le malfaiteur a quelques minutes pour accéder à l’info (utilisation de la session)

Commerce électronique avec critiques d’utilisateurs

• Sauvegarde d’une critique qui contient un script
• Même si la connection est sécurisée – c’est côté client
• Encore une fois: session envoyée en paramètre

Messages d’erreur

• page 404
• victime pense être sur un site mais est en fait sur un autre lien
• Passage de javascript en paramètre dans l’url

Blogues

• La même chose que pour les autres

Outils et méthodes pour se protéger

• Bloquer tout ce qui n’est pas explicitement autorisé
  • Attention aux query strings
• Audit des applications
• Pare-feu
• Protéger chaque accès critique par un mot de passe
  • Un peu comme dans un guichet automatique où il faut constament rentrer son NIP