Nous avons couvert un exemple pratique démontrant la vulnérabilité du cross site scripting codé utilisant le codage de caractères et Brup Suite pour résoudre le défi 004 dans le laboratoire gratuit OWASP Hackademic.
Le cross-site scripting (XSS) est une vulnérabilité d'application Web qui permet aux attaquants d'injecter des scripts dans des pages Web. Il existe deux types d'attaques XSS. La principale protection contre les attaques XSS se situe au niveau de l'application Web grâce à des techniques sophistiquées de validation des entrées. OWASP recommande fortement l'utilisation d'une bibliothèque de codage de sécurité. Une fois implémentée, une bibliothèque de codage nettoiera le code HTML et empêchera les attaques XSS.
Reflected XSS démarre lorsqu'un attaquant crée un e-mail malveillant, puis encourage un utilisateur à cliquer dessus. L'URL malveillante est souvent placée dans un e-mail de phishing, mais elle peut également être placée sur un site Web public, par exemple un lien dans un commentaire. Lorsque l'utilisateur clique sur l'URL malveillante, il envoie une requête HTTP à un serveur avec le cookie de l'utilisateur que l'attaquant peut utiliser pour détourner le compte utilisateur/administrateur via ce qu'on appelle le piratage de session.
Obtenir les notes du certificat OSCP
Le cours pratique complet sur les tests d’intrusion d’applications Web
Vidéo pas à pas
