Qu`est-ce que les scripts inter-site?

Cross-site scripting ou XSS, est un procédé d`injection de code malveillant et des liens dans le code d`un site autrement sûr. XSS est l`un des plus couramment utilisé des techniques de hacking. Alors que les navigateurs Web ont intégré la sécurité pour prévenir toute une série d`attaques XSS, les pirates peuvent encore exploiter les faiblesses du programme pour convaincre le navigateur que le code est planté de confiance.

Code XSS injection

Les pirates informatiques ne ont pas besoin d`un accès direct au code d`un site Web pour placer XSS attacks- à la place, ils exploitent généralement des champs de saisie de l`utilisateur dans les pièces jointes, les commentaires et les tableaux d`affichage. les attaques XSS exploitent les champs destinés aux utilisateurs de saisir du texte sur une page Web en incluant le code qui charge un script non autorisé sur la page qui peut détourner le navigateur et voler des informations. Les navigateurs Web ne permettent pas de scripts sur un seul site à affecter une autre, si les attaques XSS ne fonctionneront pas en chargeant une seule page Web dans un autre avec un iframe. Cependant, le contenu comme les commentaires et les messages de babillard existent sur le site lui-même, donc appelle script dans le travail sur le terrain. Sites avec des pages codées individuellement sans champs d`entrée de l`utilisateur sont à faible risque pour les attaques XSS, mais les pages dynamiques générées par un système de gestion de contenu sont sujettes à des exploits XSS.

Paramètres page l`exploitation

Les sites Web utilisent plusieurs méthodes pour stocker des choses comme les noms d`utilisateur et mots de passe pour permettre aux utilisateurs autorisés d`accéder au contenu restreint. Les pirates informatiques peuvent placer du code malveillant sur les pages qui peuvent pirater les informations utilisateur passé en paramètre dans l`URL. Les paramètres sont un procédé de stockage et de transmission d`informations entre les pages du navigateur par l`ajout de valeurs à l`URL. Les langages de programmation tels que javascript ont libre accès aux paramètres d`URL, de sorte que le code injecté peut demander les valeurs des paramètres, comme les noms d`utilisateur et mots de passe, et envoyer ces valeurs partout.

Stealing vos cookies

Les sites Web utilisent couramment "biscuits," ou de petits fichiers stockés par ordinateur, pour enregistrer les informations de l`utilisateur pour une utilisation dans les différentes pages. Les sites Web ne peuvent accéder aux cookies qu`ils créent, si le site A ne peuvent pas lire les cookies à partir du site B. Toutefois, un tiers peut "poison" les cookies du site A en injectant du code-interprétation cookie sur le site A et le transmettre sur le site B.

Protéger les sites Web d`injection

Les webmasters peuvent protéger votre site d`hébergement des attaques XSS en filtrant le code potentiellement malveillant des visiteurs du site. Un webmaster peut ajouter un contrôle de sécurité pour les champs de commentaire et l`affichage que les bandes des commandes comme le "scénario" marque. Les pirates informatiques peuvent essayer de charger des scripts XSS à travers d`autres balises HTML, ainsi que l`utilisation des caractères codés pour contourner les filtres. Les webmasters peuvent travailler des attaques par injection autour codées par des caractères spéciaux stripping ASCII, URL du code de codage, codes numériques HTML et les codes de nom HTML à partir des champs de saisie de l`utilisateur. Les webmasters peuvent également utiliser des outils comme Acunetix Vulnerability Scanner Web, SC Labs` Exploit-Me et le plugin Firefox XSS Me pour vérifier les vulnérabilités (voir Ressources).

Les références

• lien OWSAP.org: Cross-site scripting (XSS)
• lien PC Magazine: Définition de: XSS
• lien Cgisecurity: La FAQ Cross-Site Scripting (XSS)
• lien Acunetix: Cross Site Scripting Attaque
• lien Tech Republic: Qu`est-ce Cross-Site Scripting?
• lien Computer Hope Jargon: Intoxication Cookie

A propos de l`auteur

Dan Stone a commencé à écrire professionnellement en 2006, spécialisée dans l`éducation, la technologie et la musique. Il est un développeur web pour une entreprise de communication et travaillé à la télévision. Stone a reçu un baccalauréat ès arts en journalisme et une maîtrise ès arts en études de communication de l`Université Northern Illinois.