Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit quand des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur de la victime. Il est impossible pour le navigateur de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur et utilisées sur ce site. Les hackers peuvent aussi se servir du XSS pour diffuser un malware, réécrire le contenu du site, perturber des réseaux sociaux et hameçonner les identifiants d’un utilisateur. Contrairement à d’autres attaques en ligne, les attaques XSS ne ciblent pas directement l’application elle-même, mais plutôt ses utilisateurs.

Impact d’un XSS

En exploitant les failles XSS, un attaquant peut effectuer des actions malveillantes comme :

• Rediriger les utilisateurs vers un site Web malveillant.
• Enregistrer les frappes de l’utilisateur sur le clavier.
• Accéder à l’historique de navigation de l’utilisateur et au contenu des presse-papiers.
• Exécuter des attaques basées sur un navigateur Web (comme planter le navigateur).
• Obtenir les informations sur les cookies d’un utilisateur qui est connecté à un site Web.
• Voler le jeton de session de connexion, permettant à l’attaquant d’interagir avec l’application comme la victime, sans avoir à connaître son mot de passe.
• Forcer l’utilisateur à envoyer des requêtes à un serveur, contrôlées par l’attaquant.
• Modifier le contenu de la page.
• Piéger la victime pour qu’elle divulgue son mot de passe pour accéder à l’application ou d’autres applications.
• Infecter la victime avec d’autres codes malveillants en utilisant une vulnérabilité du navigateur Web lui-même, voire prendre le contrôle de l’ordinateur de la victime.

Source Kapersky