Définition - Que signifie Cross Site Scripting (XSS)?
Le Cross Site Scripting (XSS) est le processus d'ajout de code malveillant à un site Web authentique pour collecter les informations de l'utilisateur avec une intention malveillante. Les attaques XSS sont possibles grâce à des vulnérabilités de sécurité trouvées dans les applications Web et sont couramment exploitées en injectant un script côté client. Bien que JavaScript soit généralement utilisé, certains attaquants utilisent également VBScript, ActiveX ou Flash.
Definir Tech explique le Cross Site Scripting (XSS)
Lorsqu'une vulnérabilité XSS est exploitée avec succès, l'application serveur peut être sérieusement exposée à des risques majeurs. Par exemple, les utilisateurs peuvent être incités à exécuter des scripts malveillants lors de la visualisation de pages générées dynamiquement. Une autre possibilité implique qu'un attaquant reprenne une session utilisateur avant que son cookie de session correspondant n'expire. Dans un autre cas encore, des utilisateurs innocents peuvent être connectés à un serveur malveillant.
Dans pratiquement tous les scénarios, le système d'une victime est attaqué en utilisant les privilèges de la victime elle-même. Les attaques peuvent alors évoluer vers des détournements de compte, des vols de cookies, de fausses publicités et des modifications des paramètres utilisateur du compte de la victime.
Une façon d'atténuer les risques d'exploits XSS consiste à désactiver les scripts actifs dans les navigateurs. Malheureusement, cela enlève également la capacité d'un navigateur à exécuter des sites Web dynamiques et n'est pas une solution réaliste pour la plupart des utilisateurs.