...
Une faille XSS consiste à exploiter l'interprétation HTML / JavaScript par le navigateur lors l'affichage des données. Si vous affichez dans la page une donnée non protégée – c'est-à-dire sans prendre le soin de convertir les caractères qui sont interprétés-, alors le navigateur pourra interpréter les variables affichées comme du HTML ou du JavaScript.
Tip | ||
---|---|---|
| ||
Page : Exploitation : Il suffit d'indiquer comme mot clé la chaine de caractères suivante :
Résultat : Un message d'alerte « kikoo » apparaitra sur la page. | ||
Note |
On peut bien évidemment faire bien plus en JavaScript qu'un message d'alerte : redirection vers un autre site, vol de cookies...
...