Les attaques de type Cross Site Scripting (XSS)

Les attaques de type Cross Site Scripting (XSS)

Les attaques de type Cross Site Scripting (XSS) sont les plus fréquentes sur le net. Comment peut-on les prévenir en adoptant les meilleures pratiques

Ce premier article sur la sécurité des sites et applications Web couvre les attaques de type Cross Site Scripting (XSS).

Cette technique utilisée par les pirates consiste à injecter du code à même les formulaires d’un site ou d’ajouter à un url (barre d’adresse) des paramètres qui seront pris en compte lors de la récupération des données par le serveur.  Cette vulnérabilité des sites est une des plus fréquentes.

Les pirates peuvent utiliser cette faille pour exécuter des scripts malveillants (javascript) sur les postes des internautes qui consulte une page déjà affectée.  Cela peut entrainer la redirection vers un autre site, le vol d’information, la substitution de l’identité ou tout simplement un malfonctionnement de la page.

Pour corriger cette faille, un développeur averti peut :

  • réduire au maximum les fonctionnalités de mise en page des éditeurs html (wysiwyg) utilisées dans les formulaires du site;
  • nettoyer (sanitize) l'ensemble des données qui sont envoyées  au serveur, à travers les formulaires du site, avant de les manipuler et de les emmagasiner en base de données;
  • filtrer, de la même façon, les paramètres envoyés au serveur à même l'url (querystring);
  • traiter (escape) avant l'affichage d'une page tous les contenus provenant de la base de données en retirant les codes html et javascripts potentiellement dangeureux;
  • limiter aux administrateurs la possibilité de publier des contenus avec formattage html et programmation javascript.

Certains programme-cadres (Framework) tel que Rails effectuent, par défaut, une partie du travail.  Il n'en demeure pas moins essentiel d'appliquer les meilleurs pratiques et de tester chacune des fonctionnalités d'un site.


Références et ressources :

Catégorie : Interactif

Auteur :