Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > XSS (Cross-Site Scripting) 🔴 Attaque

XSS (Cross-Site Scripting) 🔴 Attaque

Une attaque XSS (Cross-Site Scripting) est une vulnérabilité de sécurité web qui permet à un attaquant d’injecter du code malveillant (généralement du JavaScript) dans des pages web consultées par d’autres utilisateurs. Contrairement à d’autres attaques qui ciblent directement le serveur, le XSS cible le client, c’est-à-dire le navigateur de l’utilisateur.

  • TYPE : 🔴 Attaque informatique par injection de code côté client
  • DANGEROSITÉ :  💀💀💀💀
  • FRÉQUENCE : 💣💣
  • FACILITÉ D’ÉRADICATION : 🧹🧹

Google - Noto Color Emoji 15.0 (Animated) Fonctionnement

L’attaque XSS se déroule en plusieurs étapes :

  1. Injection : L’attaquant injecte un script malveillant dans une page web vulnérable. Cette injection peut se faire de différentes manières :

    • XSS réfléchi (Reflected XSS) : le script est injecté via une requête HTTP (par exemple, dans un paramètre d’URL). Le serveur renvoie ensuite ce script dans la réponse HTML, qui est exécutée par le navigateur de l’utilisateur. C’est le type de XSS le plus courant.
    • XSS persistant (Stored XSS) : le script est stocké de manière permanente sur le serveur (par exemple, dans une base de données, un forum, un commentaire). Chaque fois qu’un utilisateur consulte la page contenant le script, celui-ci est exécuté.
    • XSS DOM (DOM-based XSS) : le script malveillant manipule le DOM (Document Object Model) du navigateur de l’utilisateur, sans que le serveur ne soit impliqué directement. L’injection se fait via des données provenant du client (URL, cookies, etc.).

  2. Exécution : Lorsque l’utilisateur visite la page web compromise, son navigateur exécute le script malveillant.

  3. 💥 Conséquences : Le script peut alors effectuer diverses actions malveillantes :

    • Vol de cookies : les cookies contiennent souvent des informations d’authentification. Leur vol permet à l’attaquant d’usurper l’identité de l’utilisateur.
    • Redirection vers un site malveillant : l’utilisateur est redirigé vers un site contrôlé par l’attaquant, qui peut alors lui dérober des informations personnelles ou installer des logiciels malveillants.
    • Défiguration de la page web : le script peut modifier l’apparence de la page web, afficher des messages trompeurs ou voler des informations saisies par l’utilisateur (numéros de carte de crédit, mots de passe, etc.).
    • Keylogging : enregistrement des frappes au clavier de l’utilisateur, permettant de récupérer des informations sensibles.
    • Prise de contrôle du compte utilisateur : dans certains cas, l’attaquant peut prendre le contrôle complet du compte de l’utilisateur.

👉 Exemples

  • Un forum web permet aux utilisateurs de poster des commentaires. Un attaquant injecte un script XSS dans un commentaire. Chaque fois qu’un utilisateur consulte ce commentaire, le script est exécuté, volant ses cookies de session.
  • Une application web affiche les résultats d’une recherche en reprenant le terme recherché dans l’URL. Un attaquant modifie l’URL pour y inclure un script XSS. Lorsque l’utilisateur clique sur le lien modifié, le script est exécuté.

💉 Protections et remèdes aux attaques XSS

Plusieurs mesures peuvent être mises en place pour prévenir les attaques XSS :

  • Échappement des données : avant d’afficher des données fournies par l’utilisateur dans une page web, il est crucial de les « échapper », c’est-à-dire de remplacer les caractères spéciaux HTML (par exemple, < par &lt;, > par &gt;) pour qu’ils soient interprétés comme du texte et non comme du code.
  • Validation des entrées : vérifier et filtrer les données saisies par l’utilisateur pour s’assurer qu’elles ne contiennent pas de code malveillant.
  • Utilisation d’une Content Security Policy (CSP) : la CSP permet de définir une politique de sécurité qui contrôle les ressources que le navigateur est autorisé à charger.
  • Utilisation de frameworks et de bibliothèques sécurisés : ces outils intègrent souvent des mécanismes de protection contre le XSS.
  • Mise à jour régulière des logiciels : les mises à jour corrigent souvent des failles de sécurité, y compris les vulnérabilités XSS.
  • Utilisation de HTTPOnly flag pour les cookies : ce flag empêche l’accès aux cookies par JavaScript, ce qui limite l’impact du vol de cookies.

 

Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité