La faille XSS à l’origine CSS (Cross Site Scripting) changé pour ne pas confondre avec le CSS de feuilles de style, est une faille qui attaque les applications web. Cette faille peut s’avérer moins importante, cependant elle est dangereuse.
En réalité la faille XSS est une injection d’un code malveillant 🥷🏽 en javascript dans un site web (application web) vulnérable, dans le but de de rediriger les visiteurs vers un faux site (phishing) ou des volés ses informations (cookies).
Sur cet article nous allons développer la question sur cette faille en comment la détecter, comment se protéger de la faille et comment la contourner.
Comment détecter une attaque XSS ?
La curiosité est un atout quand on est webmaster ou quand on a ses activités sur le web. Alors, rien de sorcier de connaitre si votre site subit une attaque XSS vous pouvez la détecter en ayant des prérequis.
Votre site internet contient des formulaires ? Faites un exemple en copiant ce code javascript : <script > alert (Hack) </script > et l’exécuter sur un formulaire ou une barre de recherche de votre site internet.
Si le résultat renvoie une boîte de dialogue qui apparaît on peut dire que votre site est sensible aux attaques de type XSS.
Vous remarquez du contenu inhabituel sur votre site internet dont vous n’avez aucune idée de l’avoir placé, un message s’affichant sur votre page d’accueil avec comme message : « Nous avons pris le contrôle de votre site web, demandez à votre webmaster de n’effectuer aucune action de peur que nous mettons en public votre base de données ». Il s’agit d’une attaque XSS.
Comment se protéger d’une attaque XSS ?
Vous êtes victime d’une attaque XSS, alors rien n’est sorcier comme je l’ai dit plus haut, concentrez-vous et je vous recommande de prendre du temps et consulter le référentiel OWASP 
qui liste le top 10 des attaques courant sur le web.
Lecommunicateurnumerique vous présente quelques techniques qui vous permettront de vous protéger d’une attaque XSS :
- Convertir les caractères spéciaux en entités HTML en utilisant la fonction htmlspecialchars()
- Mettre régulièrement vos modules ou plugins si vous utilisez un CMS
- Vérifier l’entrée de chaque utilisateur qui visite votre site web et interagit avec les formulaires en plaçant des pares-feu
- Mettre à jour régulièrement votre navigateur web.
Comment contourner une attaque de type XSS
Vous êtes développeur web, vous êtes webmaster, vous êtes responsable de la sécurité informatique et vous mettez en ligne un site web ou une application web en ligne, vous serez conscient que vous allez recevoir plusieurs attaques et alertes.
Cette conscience est normale et c’est ce qui pousse à étudier les méthodes et se poser la question si mon site web est piraté, quel sera mon premier réflexe ? Que devrais-je faire ?
Allons-y, ensemble nous allons voir quelques méthodes pour contourner une attaque du type XSS, les bonnes pratiques à respecter :
- Appliquez la validation des données d’entrée : pour empêcher les attaques communes, il est possible de blacklister certains caractères comme les balises script. La fonction strip_tags() permet de le faire.
- Appliquez la transformation des entrées : vous pouvez encoder toutes vos entrées dans une entité de caractères HTML ou du texte pour qu’il n’exécute aucun script. Il existe des fonctions simples et des bibliothèques qui peuvent vous aider à encoder tout votre HTML et JavaScript. La fonction htmlentities() ou htmlspecialchars() permet de le faire.
- Configurez vos cookies avec le flag HttpOnly.
- Utilisez des jetons anti-falsification qui valident le jeton côté client par rapport au jeton côté serveur web.
- Exigez la réauthentification pour toutes les demandes des utilisateurs.
Cet article vous a-t-il servi ? Vous pouvez le partager et commenter pour que ce dernier puisse être vu par un max d’utilisateur.
Rédacteur(s) :
Franck K.
