Passer au contenu principal

Scripts intersites

le Scripts intersites (XXS) est une technique d'attaque Internet populaire dans laquelle un code malveillant est exécuté à la fois côté serveur et côté client, afin de voler des données sensibles ou des identités numériques. Avec les injections SQL, le cross-site scripting, également appelé XSS ou même les injections HTML générales, est la technique d'attaque la plus utilisée sur les applications et les sites Web.[1]

Informations générales

Les attaques de type "Cross Site Scripting" supposent que

a) un pirate ou un attaquant envoie un lien hypertexte modifié à un destinataire (utilisateur ou serveur).

b) Le destinataire l'ouvre en cliquant dessus ou le traite car il n'est pas vérifié.

c) Le navigateur du destinataire a activé JavaScript (d'autres langages de script sont également utilisables).

d) Ou, le serveur que le destinataire voulait parcourir utilise des applications Web qui desservent des sites Web dynamiques et les données ne sont pas vérifiées.

Une attaque de type Cross Site Scripting a lieu lors de l'accès à un site Web. Si un utilisateur visite un site Web pour entrer des informations de connexion, le navigateur envoie un formulaire avec des données au serveur. Le serveur autorise l'accès au portail Web, si les données sont correctes. Une attaque de script intersite a lieu précisément entre ces deux sites Web et il n'est pas nécessaire qu'il s'agisse de sites différents avec des URL différentes. La technique XXS est plutôt utilisée pour que les sites générés dynamiquement se situent entre le client et le serveur pendant la saisie des données. Les réponses du serveur sont mimées pour envoyer les données saisies par l'utilisateur à une adresse que l'attaquant détermine.

Cela se fait en exécutant des scripts que l'attaquant a placés. Ces scripts utilisent des paramètres tels que GET, POST et (document.cookie) pour subvertir la communication entre le client et le serveur. Le langage de balisage HTML et le langage de programmation PHP prennent en charge ces méthodes. Étant donné que des millions de sites utilisent ces langages, les attaques XSS sont un moyen efficace de s'introduire dans les données des utilisateurs.

CARACTÉRISTIQUES

Le Cross Site Scripting se divise en trois types d'attaques :[2]

1.) Persistant: Avec les attaques XSS persistantes, le code malveillant reste à l'écran et l'utilisateur n'est pas forcément identifiable. Dans les forums, les communautés ou les livres d'or Web, le code malveillant n'est pas filtré et présenté sous forme de liens, car ces sites Web vérifient généralement leurs entrées. Une attaque XSS persistante peut avoir lieu dans le cache d'une application Web ou dans une base de données connectée de ces sites Web. Attaques persistantes toujours ils sont du côté serveur et présentent un grand risque potentiel.

2.) Non persistante: Ici, l'utilisateur reçoit un lien manipulé. Une fois le lien cliqué, le code malveillant lancera et exécutera un script. Souvent, de faux e-mails d'attaquants sont envoyés pour inciter les utilisateurs à interagir. Les attaquants imitent les formulaires et les sites Web et insèrent un script pour frapper les cookies de session avec les données de l'utilisateur. Le potentiel de risque associé aux attaques XSS non persistantes est relativement faible, car elles nécessitent un degré élevé d'interaction de l'utilisateur. Ils sont toujours côté client et sont généralement utilisés en conjonction avec des sites Web dynamiques.

3.) Local: Dans ce cas, le code malveillant sera envoyé directement à un client pour être exécuté, par exemple, dans le navigateur. Une attaque XSS locale est toujours un code malveillant directement exécutable qui ne dépend pas d'une vulnérabilité dans la communication serveur-client. Il s'agit plutôt d'une attaque directe sous la forme d'un script qui demande certaines informations, telles que les fondamentaux de l'URL ou les balises de script. Après l'interrogation, le code malveillant s'exécute en arrière-plan à l'insu de l'utilisateur. Les attaques XSS locales visent à attaquer les pages HTML statiques, mais reposent également sur le fait qu'un utilisateur clique sur un lien malveillant.

Contre-mesures au Cross Site Scripting

Les utilisateurs et les webmasters peuvent prendre des mesures de protection. Les utilisateurs peuvent utiliser, par exemple, le plugin NoScript, qui interdit l'exécution de scripts. Il est même possible de désactiver JavaScript. Cependant, d'autres langages de programmation seront utilisés, tels que VBScript, PHP et Pearl. Il est particulièrement important que les utilisateurs soient sceptiques lorsqu'ils trouvent des hyperliens dans des e-mails, des messages ou des forums, car les attaques XSS prétendent être un site Web officiel. Avec ce qu'il faut de scepticisme, ces risques peuvent être exclus dès le départ. Pour les webmasters et les hébergeurs, il est crucial que la programmation du code source, notamment le format des données, soit faite correctement et en toute sécurité. Toutes les données du formulaire doivent être vérifiées pour leur exactitude en termes de caractères, d'encodage et d'exhaustivité. Les listes blanches qui définissent quelles données sont autorisées sont considérées comme les meilleures pratiques. Les grands projets accumulent également beaucoup de données. De cette façon, des actions sont recommandées pour convertir certains caractères à partir de scripts. Cela empêche les métascripts exécutables d'être lus par le serveur ou le client. La réécriture de caractères est possible dans n'importe quel langage de programmation en les remplaçant ou en les masquant. Une action finale, mais non sécurisée, est l'utilisation des WAF : les pare-feu d'applications Web sont conçus pour protéger des applications Web spéciales contre les accès non autorisés à partir d'un pare-feu.

Importance pour le référencement

Le Cross Site Scripting est également utilisé dans le domaine du SEO. Un portail Web est piraté pour y placer des backlinks qui pointent vers un domaine à renforcer. Le cross site scripting est une méthode « black-hat » bien connue, qui exploite les vulnérabilités des serveurs et des clients pour intégrer des liens dont le webmaster du portail Web concerné ne devrait pas avoir connaissance. Google et d'autres moteurs de recherche punissent ces liens car ils sont considérés comme des mesures manuelles et non naturelles. Les moteurs de recherche ne peuvent généralement pas trouver d'où proviennent ces liens ni comment ils sont arrivés sur le site.[3] Pour empêcher efficacement le cross-site scripting, le webmaster doit prendre les mesures décrites ci-dessus.

Liens web

R Marketing Numérique