Présentation rapide des failles XSS

1. Introduction XSS

2. Plan
1. Qu’est ce qu’une faille XSS ?
1. Définition
2. Risques
3. Types de XSS
2. Contremesures
1. Input filtering/Output encoding
2. CSP
3. Outils de détection

3. Qu’est ce qu’une faille XSS ?
Définition
 Exécution de code client malicieux depuis un site web légitime par le navigateur web de la victime

4. Qu’est ce qu’une faille XSS ?
OWASP
 Classée numéro 3 du TOP 10
Prévalence Très répandue
Détection Facile
Impact Modérée

5. Qu’est ce qu’une faille XSS ?
Risques
 Vol de cookie d’authentification
 Porte d’entrée pour les injections CSRF
 Redirection des utilisateurs vers un site de phishing
 Attaque sur le système (exemple : scan)

6. Qu’est ce qu’une faille XSS ?
Exemple
 Site avec listing des avis client
 Objectif : Voler les cookies d’authentification des utilisateurs pour s’authentifier à leur place
 Script :

7. Qu’est ce qu’une faille XSS ?
Démonstration
Démo

8. Contremesures
Input filtering / Output encoding
Input
Valider toutes les entrées faites par les utilisateurs
 Mécanismes intégrés (ASP.NET : AllowHTML, ValidateInput())
 Filtrage des caractères potentiellement dangereux (Server.HtmlEncode())
Output
 Mécanismes intégrés (ASP.NET Razor, {{{myVar}}} Handlebars)
 Filtrage des caractères potentiellement dangereux (Server.HtmlEncode())

9. Contremesures
CSP (Content Security Policy)
 Headers HTTP renvoyés par le serveur
 Contrôle la provenance des ressources téléchargées par le navigateur du client
 Images, script, appel AJAX, CSS, iFrame, etc.)
 Interdit par défaut l’exécution des scripts inline (<script></script>)
 Exemple :
Content-Security-Policy: default-src 'self'; script-src 'self'
https://cdn.google.com; style-src 'self' https://cdn.google.com;
img-src https://images.monsite.com;

10. Outils de détection (analyse dynamique)
 Gratuits
 Arachni
 ZAP
 XSSer
 Payants
 Acunetix
 Burp
 CheckMarkx
 Veracode

11. Exemple Arachni
Démo

12. Questions
?