Cross-site scripting (XSS) : de quoi s’agit-il et comment se protéger ?

Les failles XSS ouvrent de grandes possibilités pour les pirates : installation de logiciels, récupérations des cookies de sessions, etc.

Découvrez ce qu’est le cross-site-scripting et comment se prémunir de ces attaques XSS.

Le cross-site scripting, appelé couramment XSS, est une cyberattaque qui utilise les failles de sécurité des sites Internet. Le XSS est une injection insidieuse de script sur un site Internet sécurisé.

L’injection de ce code déclenche des actions sur le navigateur, et donc sur l’utilisateur, qui visite la page infectée.

L’utilisation de faille XSS peut permettre à un hacker de dérober la session d’un utilisateur en récupérant ses cookies de session. Une autre façon d’utiliser le XSS est de diriger l’utilisateur vers un site de phishing. Les internautes malchanceux qui déclenchent ce script malveillant deviennent ainsi vulnérables.

L’exploitation la plus courante de XSS par les pirates est l’injection de code JavaScript directement dans la page HTML. Cependant, de nombreuses exploitations XSS peuvent être réalisées, car l’attaquant peut utiliser les différents langages pris en compte par le navigateur.

Il est possible de modifier le contenu d’une page HTML ou de contrôler le navigateur de la victime grâce aux failles XSS.

Lorsqu’elles sont exploitées, ces failles peuvent être très importantes avec de lourdes conséquences. L’accès au navigateur web de la victime ouvre un nombre infini de possibilités pour un cybercriminel.

Par le biais du XSS, les pirates peuvent diffuser leurs malwares à un grand nombre de personnes.

Le nom de cross-site scripting pour ces attaques vient du fait d’injecter du code malveillant d’un site Internet frauduleux vers un site Internet inoffensif. Il s’agit d’un « croisement » de script d’un site à un autre.

Le principe d’une attaque XSS est d’utiliser un contenu malveillant auquel l’utilisateur ne s’attend pas lorsqu’il est sur un site Internet qu’il pense sécurisé.

Une attaque XSS peut aller de la simple atteinte à la réponse d’un site web en le modifiant, jusqu’au vol de données sensibles d’un utilisateur grâce à la prise de contrôle de son système d’exploitation.

Il existe trois types de XSS dont le principe est identique mais avec un fonctionnement différent.

Lors d’une attaque XSS stockée ou persistante (ou « stored XSS »), le hacker injecte les scripts malveillants directement sur le serveur web où ils seront stockés. Les scripts sont ainsi fournis aux utilisateurs à chaque chargement de la page en question, le contenu insidieux est retourné dans le navigateur à chaque visite du site Internet.

Dans le cas de XSS réfléchies ou reflétées (ou « reflected XSS » en anglais), les scripts malveillants n’existent que de manière temporaire et ne sont pas stockés sur le serveur. Ces codes sont envoyés à un serveur web par le biais d’une URL manipulée ou d’un formulaire préparé.

Lors d’une XSS réfléchie, le serveur retourne le script à l’utilisateur sans qu’il ne soit vérifié.

Les attaques XSS basées sur le DOM sont aussi appelées XSS locales (ou « DOM based xss » en anglais).

A l’inverse des attaques XSS stockées et réfléchies, lors d’une XSS basée sur le DOM, le serveur web n’est pas utilisé. L’attaque se passe directement dans le navigateur Internet de la victime. Dans cette situation, le code piraté est généralement exécuté lors du chargement d’une URL qui a été manipulée.

Il est assez complexe de se défendre contre les attaques XSS puisqu’elles visent les sites Internet et non votre ordinateur.

Se prémunir des attaques XSS n’est pas impossible, notamment en partant du principe que tous les éléments provenant d’Internet ne sont pas sécurisés. Prendre l’habitude de surveiller les adresses URL limite le risque de XSS : si vous apercevez quelque chose d’anormal, réfléchissez à deux fois avant d’entreprendre une action sur le site en question.

L’utilisation de navigateurs sécurisés et de logiciels mis à jour régulièrement permet également de limiter ces risques.

L’utilisation d’un pare-feu permet de se défendre contre les attaques XSS et l’utilisation d’un logiciel anti-virus sur votre ordinateur est vivement recommandée.

Découvrez comment la fonctionnalité Protection Anti-menaces peuvent vous aider à vous protéger des attaques XSS.

Obtenez NordVPN, élu meilleur fournisseur de VPN