docFailles web : Les XSS
download 
Plainte Transcription
Failles web : Les XSS
Failles web : Les XSS
Failles web : Les bases
Cross Site Scripting (XSS)
Principe :
●
Ajouter du code dans le corps d'une page
Comment :
●
Trouver un paramètre dont la valeur est
utilisé dans le cadre de la génération de la
page
Failles web : Les bases
Cross Site Scripting (XSS)
2 Types
Réfléchies
● Stockées
●
Failles web : Les bases
Ouvrez un navigateur
● Entrez dans la barre d'adresse :
http://192.168.1.169
● Cliquez sur gare-numerique
● Puis sur failles-web
● Et enfin TP
Failles web : Les bases
Cross Site Scripting (XSS)
XSS Réfléchies :
Le code malveillant
l'adresse de la page
se
trouve
dans
Failles web : Les bases
Le site
3 parties :
●
●
●
Accueil, affichage des derniers articles.
Pas d'interaction possible.
Recherche, permet de rechercher un article selon un
mot clé. Recherche d'utilisateur possible également.
Interaction possible via le formulaire de recherche.
Administration, permet de se connecter à
l'interface d'administration.
Interaction possible via le formulaire d’identification
Failles web : Les bases
La page de recherche
●
●
●
Présence d'un formulaire.
Le mot clé recherché est rappelé dans la page
contenant les articles correspondant à la recherche.
Potentiellement un point d'entrée.
Failles web : Les bases
Failles web : Les bases
Ne JAMAIS faire confiance à
l'utilisateur
Remplacez le terme hacking par
<h1>test</h1>
Failles web : Les bases
Le mot test apparaît sous la forme d'un gros titre
Failles web : Les bases
Les cookies
Petit fichier texte contenant des informations sur
l’utilisateur.
Permet à l'utilisateur de rester identifié sur un
site et de voir ses paramètres sauvegardés par
exemple.
Exemple :
prenom=Nicolas;ville=Jeumont Failles web : Les bases
Afficher du texte ne servira à rien à un pirate.
Il préférera :
●
●
●
●
Obtenir vos cookies
Vous rediriger sur d'autre sites
(concurrents/vérolés)
Rediriger la page appelée par un formulaire
Exécuter des actions en utilisant vos droits sur le
site
Failles web : Les bases
Comment ?
En utilisant un langage "complémentaire" de
l'HTML : le javascript
Syntaxe :
<script>code javascript</script>
Le javascript permet d’interagir entièrement avec le
contenu de la page : Ajouter / Supprimer / Modifier
un élément.
Failles web : Les bases
Quelques exemples de code javascript :
alert("Bonjour") ;
Affichera une boite de dialogue contenant Bonjour
alert(document.cookie) ;
Affichera vos cookie
window.location="http://perdu.com"
Vous redirigera sur le site perdu.com
Ces codes sont à placer entre <script>et</script>
Failles web : Les bases
Cross Site Scripting (XSS)
XSS Stockées:
Le code malveillant est enregistré sur le
serveur (Forum, livre d'or etc ...)
