Skip to main content

Anti-script de site à site (XSS)

Erreur connexe

« Ce serveur est vulnérable à une attaque de type anti-script de site à site. Assurez-vous que les données côté client (JavaScript) sont sécurisées et validées. »

Problème

L’anti-script de site à site est une attaque web sur des applications web vulnérables utilisant JavaScript. Le contenu malveillant est transmis aux utilisateurs utilisant JavaScript par l'intermédiaire d'une source non sécurisée ou non fiable en composant les données vers un récepteur dangereux à l'intérieur du DOM (Document Object Mode) plutôt qu'en HTML, ce qui présente un XSS normal.

Les attaques XSS se produisent lorsque les données d'entrée d'une application web ne sont pas validées et que les données de sortie vers le navigateur ne sont pas codées en HTML.

Lorsque les attaques XSS sont réussies, les attaquants peuvent :

  • Détourner un compte.

  • Propager des vers web.

  • Accéder à l'historique du navigateur et au contenu du presse-papiers.

  • Contrôler le navigateur à distance.

  • Scanner et exploiter les appareils et applications intranet.

Solution

Identifier et prévenir les erreurs XSS dans les applications web :

  1. Valider les données saisies par les navigateurs des utilisateurs dans l'application web.

  2. Coder toutes les sorties de l'application web vers les navigateurs des utilisateurs.

  3. Donnez aux utilisateurs la possibilité de désactiver les scripts côté client.