...
Une faille XSS consiste à exploiter l'interprétation HTML / JavaScript par le navigateur lors l'affichage des données. Si vous affichez dans la page une donnée non protégée – c'est-à-dire sans prendre le soin de convertir les caractères qui sont interprétés-, alors le navigateur pourra interpréter les variables affichées comme du HTML ou du JavaScript.
Notetip | ||
---|---|---|
| ||
Page :
<html> <body> Aucun résultat n'a été trouvé pour votre mot clé $keyword.</body> </html>
Exploitation :
Il suffit d'indiquer comme mot clé la chaine de caractères suivante :
Code Block |
---|
<script type="text/javascript">alert('kikoo');</script>
|
Résultat :
Un message d'alerte « kikoo » apparaitra sur la page.
Note |
---|
On peut bien évidemment faire bien plus en JavaScript qu'un message d'alerte : redirection vers un autre site, vol de cookies...
...