Script intersite (XSS)

Qu’est-ce que le cross-site scripting ?

Le script intersite (XSS) est une vulnérabilité Web qui permet à un pirate malveillant d’introduire (d’injecter) des commandes indésirables dans du code côté client légitime (généralement JavaScript) exécuté par un navigateur au nom de l’application Web.
Comment fonctionne le cross-site scripting ?

La plupart des sites Web et des applications Web exécutent du code côté client dans le navigateur Web à l’aide d’une sorte de langage de script dynamique. Dans la grande majorité des cas, ce langage est JavaScript. Les sites Web et les applications Web HTML pur existent toujours, mais ils sont rares simplement parce que les scripts côté client améliorent considérablement l’interface utilisateur et les capacités du site Web ou de l’application Web. Vous pouvez supposer en toute sécurité que plus de 99 % des sites Web et des applications Web que vous rencontrez incluent du code JavaScript côté client. Ceci, à son tour, signifie que les navigateurs des utilisateurs doivent être capables d’interpréter n’importe quel code JavaScript au nom de l’application Web.
La plupart des applications Web et des sites Web interagissent également avec les utilisateurs d’une manière ou d’une autre, même s’ils n’utilisent pas JavaScript. L’interaction nécessite une certaine forme de saisie de l’utilisateur. Par exemple, l’utilisateur peut avoir besoin de saisir son nom d’utilisateur pour se connecter à l’application Web et l’application peut afficher ce nom d’utilisateur plus tard dans l’interface utilisateur. Cela signifie que l’application traite les entrées de l’utilisateur, puis les affiche dans le navigateur Web.
Combinées, ces deux conditions jettent les bases de la vulnérabilité de sécurité Web la plus courante – le script intersite, qui est un type d’attaque par injection. Si un attaquant est capable d’inclure du code JavaScript dans un paramètre d’entrée utilisateur et que l’application renvoie directement ce code dans sa sortie HTML et l’envoie au navigateur client, le navigateur exécutera le JavaScript malveillant. Chaque fois qu’une page Web fait directement écho à l’entrée de l’utilisateur, les attaquants pourront exécuter des scripts malveillants dans le navigateur client, même si la page elle-même est construite uniquement avec des balises HTML statiques et n’inclut pas de JavaScript.
Contrairement à la plupart des autres vulnérabilités des applications Web, celle-ci n’affecte pas directement le back-end de l’application (le serveur Web). Cela affecte les utilisateurs réguliers de l’application Web ou les victimes qui sont amenées à y accéder. XSS est également possible pour certaines API qui autorisent JavaScript, par exemple, une API peut présenter à l’utilisateur un message d’erreur contenant du JavaScript précédemment injecté par un attaquant.
Pendant de nombreuses années, les scripts intersites avaient leur propre catégorie distincte dans le Top 10 de l’OWASP. Cependant, en 2021, les créateurs de la liste ont décidé de l’incorporer dans la catégorie Injection avec l’injection SQL , RCE et bien d’autres.
Types de vulnérabilités de script intersite

Il existe 2 techniques de cross-site scripting très courantes :
De plus, il existe 2 autres techniques de script intersite qui sont rencontrées moins souvent que les deux ci-dessus :
Ces quatre types d’attaques XSS sont décrits dans des chapitres distincts.
Vecteurs d’attaque XSS

Les éléments de langage JavaScript courants utilisés dans les charges utiles malveillantes pour effectuer des attaques de script intersite incluent :
Les attributs onloadet :onerror
Les attributs de la balise :
</code>balise&nbsp;:<ul><li><code><iframe src="http://attacker.example.com/xss.html"></code></li></ul></li><li>Les <code><input></code>attributs de la balise&nbsp;:<ul><li><code><input type="image" src="javascript:alert('XSS');"></code></li></ul></li><li>La <code><link></code>balise&nbsp;:<ul><li><code><link rel="stylesheet" href="javascript:alert('XSS');"></code></li></ul></li><li>Les attributs de balise <code><table></code>et&nbsp;:<code><td></code><ul><li><code><table background="javascript:alert('XSS')"></code></li><li><code><td background="javascript:alert('XSS')"></code></li></ul></li><li>Les <code><div></code>attributs de la balise&nbsp;:<ul><li><code><div style="background-image: url(javascript:alert('XSS'))"></code></li><li><code><div style="width: expression(alert('XSS'));"></code></li></ul></li><li>La <code><object></code>balise&nbsp;:<ul><li><code><object type="text/x-scriptlet" data="http://attacker.example.com/xss.html"></code></li></ul></li></ul><h2>Cons&eacute;quences potentielles d&rsquo;une attaque de script intersite</h2><p>Le cross-site scripting est souvent sous-estim&eacute;. Bien que la vuln&eacute;rabilit&eacute; n&rsquo;affecte pas directement le serveur Web ou la base de donn&eacute;es, elle peut tr&egrave;s facilement entra&icirc;ner de graves cons&eacute;quences telles que les suivantes&nbsp;:</p><ul><li>L&rsquo;attaquant peut &ecirc;tre en mesure de tromper un utilisateur l&eacute;gitime pour qu&rsquo;il fournisse ses identifiants de connexion. Si cet utilisateur dispose de privil&egrave;ges administratifs, l&rsquo;attaquant obtiendra un acc&egrave;s administratif &agrave; l&rsquo;application Web. L&rsquo;attaquant peut &eacute;galement voler les cookies de session de l&rsquo;utilisateur, puis les utiliser pour se connecter en tant que victime afin d&rsquo;effectuer un d&eacute;tournement de session. Un tel vol de jeton de session peut entra&icirc;ner de graves cons&eacute;quences, notamment l&rsquo;obtention par l&rsquo;attaquant d&rsquo;un contr&ocirc;le total sur l&rsquo;application Web (si le cookie de l&rsquo;utilisateur appartenait &agrave; un administrateur) et l&rsquo;intensification de l&rsquo;attaque.</li><li>L&rsquo;attaquant peut introduire du JavaScript malveillant dans vos pages r&eacute;guli&egrave;res, attaquant chaque utilisateur qui visite cette page. Cela peut conduire &agrave; l&rsquo;exposition d&rsquo;informations sensibles que les utilisateurs envoient &agrave; votre page ou r&eacute;cup&egrave;rent &agrave; partir de vos bases de donn&eacute;es.</li><li>L&rsquo;attaquant peut utiliser un site vuln&eacute;rable aux attaques XSS r&eacute;fl&eacute;chies comme outil pour mener une campagne de phishing. Des millions d&rsquo;e-mails peuvent inclure un lien menant &agrave; votre application Web &#8211; et chaque fois qu&rsquo;une victime visite ce lien, le navigateur de la victime ex&eacute;cute le contenu malveillant fourni par l&rsquo;attaquant. Cela peut avoir un impact &eacute;norme sur la r&eacute;putation de votre entreprise.</li><li>L&rsquo;attaquant peut &eacute;galement utiliser des scripts intersites pour t&eacute;l&eacute;charger des logiciels malveillants sur l&rsquo;ordinateur de l&rsquo;utilisateur, par exemple, un script d&rsquo;extraction de crypto-monnaie, un script de botnet DDoS ou m&ecirc;me un programme d&rsquo;installation de cheval de Troie ou de ran&ccedil;ongiciel. Si cela arrive &agrave; un utilisateur disposant de privil&egrave;ges administratifs sur les actifs de l&rsquo;entreprise, cela pourrait m&ecirc;me permettre &agrave; l&rsquo;attaquant d&rsquo;obtenir un acc&egrave;s complet aux syst&egrave;mes internes.</li></ul><p>Alors que la plupart des autres attaques Web ciblent le c&ocirc;t&eacute; serveur, les scripts intersites sont diff&eacute;rents en ce sens que les attaques XSS utilisent votre site Web ou votre application Web comme un outil pour attaquer directement les utilisateurs, qu&rsquo;il s&rsquo;agisse de vos utilisateurs professionnels ou de parfaits inconnus. Parce que ce sont les utilisateurs qui en subissent d&rsquo;abord les cons&eacute;quences, l&rsquo;impact commercial de XSS sur le propri&eacute;taire de l&rsquo;application est souvent indirect et donc sous-estim&eacute;.</p><h2>Exemples de vuln&eacute;rabilit&eacute;s de script intersite connues</h2><ul><li>Le <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://samy.pl/myspace/" target="_blank" rel="noreferrer noopener nofollow">ver Samy 2005</a> &#8211; en octobre 2005, Samy Kamkar, un utilisateur de la plateforme de m&eacute;dias sociaux MySpace, a cr&eacute;&eacute; une exp&eacute;rience qui &eacute;tait cens&eacute;e &ecirc;tre une farce amusante et s&rsquo;est transform&eacute;e en cauchemar. Il a inclus du code JavaScript dans le contenu d&rsquo;un message du forum MySpace. Lorsque la page de Samy &eacute;tait visit&eacute;e par n&rsquo;importe qui, ce code &eacute;tait ex&eacute;cut&eacute; par le navigateur de l&rsquo;utilisateur et postait le m&ecirc;me commentaire sur le profil de la victime. En 20 heures, le ver XSS a atteint plus d&rsquo;un million d&rsquo;utilisateurs de MySpace. Pour sa farce, Kamkar a &eacute;t&eacute; perquisitionn&eacute; en 2006 par les services secrets am&eacute;ricains et s&rsquo;est retrouv&eacute; avec un accord de plaidoyer &#8211; trois ans de probation sans acc&egrave;s &agrave; Internet.</li><li>En 2011, les attaquants ont utilis&eacute; une vuln&eacute;rabilit&eacute; Facebook XSS pour lancer un ver de spam &agrave; propagation automatique similaire au ver Samy d&rsquo;origine. La vuln&eacute;rabilit&eacute; &eacute;tait localis&eacute;e dans l&rsquo;API Facebook Mobile. <em>Les attaquants ont cr&eacute;&eacute; une page Web avec un &eacute;l&eacute;ment iframe</em> sp&eacute;cialement con&ccedil;u qui a forc&eacute; tous les utilisateurs de Facebook en visite &agrave; publier des messages non autoris&eacute;s sur leurs murs, incitant davantage d&rsquo;utilisateurs &agrave; visiter la m&ecirc;me page. C&rsquo;&eacute;tait l&rsquo;une des <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://theharmonyguy.com/oldsite/2011/04/21/recent-facebook-xss-attacks-show-increasing-sophistication/" target="_blank" rel="noreferrer noopener nofollow">nombreuses vuln&eacute;rabilit&eacute;s XSS</a> sur les sites de m&eacute;dias sociaux, et d&rsquo;autres continuent de faire surface m&ecirc;me aujourd&rsquo;hui.</li><li>La <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://www.riskiq.com/blog/labs/magecart-british-airways-breach/" target="_blank" rel="noreferrer noopener nofollow">br&egrave;che British Airways 2018</a> &#8211; c&rsquo;&eacute;tait probablement la br&egrave;che XSS la plus c&eacute;l&egrave;bre &agrave; ce jour qui a conduit au vol de donn&eacute;es sensibles. Les attaquants, soup&ccedil;onn&eacute;s de faire partie de l&rsquo; organisation <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://www.riskiq.com/what-is-magecart/" target="_blank" rel="noreferrer noopener nofollow">Magecart</a> , ont utilis&eacute; une vuln&eacute;rabilit&eacute; XSS pour parcourir les informations personnelles et de paiement de jusqu&rsquo;&agrave; 380 000 clients de British Airways. Bien qu&rsquo;il ne s&rsquo;agisse pas d&rsquo;une attaque XSS stock&eacute;e classique, les attaquants ont r&eacute;ussi &agrave; placer des scripts malveillants sur les sites Web de paiement de British Airways qui envoyaient des informations sensibles &agrave; un serveur sous le contr&ocirc;le des attaquants. Des attaques Magecart similaires se sont produites auparavant et continuent de se produire m&ecirc;me aujourd&rsquo;hui, mais g&eacute;n&eacute;ralement, la port&eacute;e de l&rsquo;attaque est plus &eacute;troite.</li></ul><h2 id="detect">Comment d&eacute;tecter les vuln&eacute;rabilit&eacute;s de cross-site scripting ?</h2><p>La meilleure fa&ccedil;on de d&eacute;tecter les vuln&eacute;rabilit&eacute;s XSS varie selon qu&rsquo;elles sont d&eacute;j&agrave; connues ou inconnues.</p><ul><li>Si vous n&rsquo;utilisez que des applications Web commerciales ou open source et que vous ne d&eacute;veloppez pas vos propres applications Web, il peut suffire d&rsquo;identifier la version exacte de l&rsquo;application que vous utilisez. Si la version identifi&eacute;e est susceptible de XSS, vous pouvez supposer que votre site Web est vuln&eacute;rable. Vous pouvez identifier la version manuellement ou utiliser un outil de s&eacute;curit&eacute; appropri&eacute;, tel qu&rsquo;une solution d&rsquo;analyse de la composition logicielle (SCA) .</li><li>Si vous d&eacute;veloppez vos propres applications Web ou si vous souhaitez avoir la possibilit&eacute; de trouver des vuln&eacute;rabilit&eacute;s XSS jusque-l&agrave; inconnues (jours z&eacute;ro) dans des applications connues, vous devez &ecirc;tre en mesure d&rsquo;exploiter avec succ&egrave;s la vuln&eacute;rabilit&eacute; XSS pour &ecirc;tre certain qu&rsquo;elle existe. Cela n&eacute;cessite soit d&rsquo;effectuer des tests d&rsquo;intrusion manuels avec l&rsquo;aide de chercheurs en s&eacute;curit&eacute;, soit d&rsquo;utiliser un outil de test de s&eacute;curit&eacute; (scanner) qui peut utiliser l&rsquo;automatisation pour exploiter les vuln&eacute;rabilit&eacute;s Web.&nbsp;</li></ul><h2 id="prevent">Comment pr&eacute;venir les vuln&eacute;rabilit&eacute;s de cross-site scripting dans les applications web ?</h2><p>L&rsquo;une des raisons pour lesquelles les scripts intersites sont si courants est qu&rsquo;il est difficile de se prot&eacute;ger contre &#8211; plus difficile que la plupart des autres vuln&eacute;rabilit&eacute;s Web. Bien que vous puissiez emp&ecirc;cher la plupart des autres vuln&eacute;rabilit&eacute;s, par exemple en &eacute;vitant des constructions de langage sp&eacute;cifiques, le seul moyen s&ucirc;r d&#8217;emp&ecirc;cher XSS dans votre application serait d&rsquo;&eacute;viter compl&egrave;tement d&rsquo;utiliser les donn&eacute;es d&rsquo;entr&eacute;e de l&rsquo;utilisateur dans le code c&ocirc;t&eacute; client. Malheureusement, cela paralyserait les fonctionnalit&eacute;s de base de la plupart des applications.</p><p>Par cons&eacute;quent, la meilleure fa&ccedil;on d&rsquo;&eacute;viter les vuln&eacute;rabilit&eacute;s de script intersite consiste &agrave; valider et &agrave; nettoyer les entr&eacute;es de l&rsquo;utilisateur. Il existe deux techniques principales que vous pouvez utiliser pour nettoyer les donn&eacute;es provenant de l&rsquo;utilisateur&nbsp;: le <em>filtrage</em> et <em>l&rsquo;&eacute;chappement</em> .</p><h3>Filtrage pour XSS</h3><p>Le moyen le plus simple d&rsquo;&eacute;liminer les vuln&eacute;rabilit&eacute;s XSS consiste &agrave; faire passer toutes les donn&eacute;es externes &agrave; travers un filtre. Un tel filtre supprime les mots cl&eacute;s dangereux, par exemple, la <code><script></code>balise, les commandes JavaScript, les styles CSS et d&rsquo;autres &eacute;l&eacute;ments HTML dangereux, tels que les gestionnaires d&rsquo;&eacute;v&eacute;nements. Dans certains cas, un filtre pourrait m&ecirc;me &eacute;liminer tous les caract&egrave;res sp&eacute;ciaux. Par exemple, un simple filtre peut rechercher et supprimer tous les caract&egrave;res autres que les lettres et les chiffres dans des requ&ecirc;tes HTTP sp&eacute;cifiques. Lorsqu&rsquo;il est filtr&eacute; de cette mani&egrave;re, <code><script>alert("XSS");</script></code>il serait simplement consid&eacute;r&eacute; comme inoffensif dans la r&eacute;ponse HTTP <code>scriptalertXSSscript</code>.&nbsp;</p><p>Malheureusement, le filtrage peut avoir des effets secondaires. Les filtres suppriment souvent le contenu l&eacute;gitime car il correspond &agrave; des mots-cl&eacute;s interdits. C&rsquo;est pourquoi le filtrage n&rsquo;est recommand&eacute; que si le contenu est tr&egrave;s simple. Si le contenu est complexe et, par exemple, doit inclure du code HTML, vous devez utiliser l&rsquo;&eacute;chappement &agrave; la place.</p><p>Certains d&eacute;veloppeurs Web choisissent d&rsquo;impl&eacute;menter leurs propres filtres, en utilisant g&eacute;n&eacute;ralement des expressions r&eacute;guli&egrave;res. Ce n&rsquo;est pas recommand&eacute;, car les pirates informatiques peuvent &eacute;chapper &agrave; ces filtres simples en utilisant de nombreuses astuces, telles que l&rsquo;encodage hexad&eacute;cimal de caract&egrave;res sp&eacute;ciaux, l&rsquo;utilisation de variations de caract&egrave;res Unicode ou l&rsquo;introduction de sauts de ligne et de caract&egrave;res nuls dans les cha&icirc;nes.</p><p>Vos filtres personnalis&eacute;s devraient tenir compte de tous ces contournements, ce qui les rend tr&egrave;s compliqu&eacute;s et presque impossibles &agrave; entretenir. C&rsquo;est pourquoi la plupart des d&eacute;veloppeurs pr&eacute;f&egrave;rent utiliser des biblioth&egrave;ques g&eacute;r&eacute;es par la communaut&eacute; pour la pr&eacute;vention XSS, qui utilisent &agrave; la fois des techniques de filtrage et d&rsquo;encodage. Une telle approche est beaucoup plus efficace mais, &eacute;videmment, elle n&rsquo;est possible que pour les langages de d&eacute;veloppement o&ugrave; de telles biblioth&egrave;ques existent.</p><h3>Sortir de XSS</h3><p>Lorsque vous &eacute;chappez &agrave; XSS (encodez les donn&eacute;es), vous indiquez en fait au navigateur Web que le contenu que vous envoyez doit &ecirc;tre trait&eacute; uniquement comme des donn&eacute;es et ne doit pas &ecirc;tre interpr&eacute;t&eacute; d&rsquo;une autre mani&egrave;re. Si un attaquant envoie un script malveillant &agrave; votre application Web, le navigateur n&rsquo;ex&eacute;cutera pas le script cod&eacute; mais pourra, par exemple, afficher le code malveillant sous forme de texte normal &agrave; l&rsquo;&eacute;cran.</p><p>Le probl&egrave;me avec l&rsquo;&eacute;vasion est que vous devez utiliser diff&eacute;rentes techniques d&rsquo;&eacute;vasion dans diff&eacute;rentes situations. Tout d&eacute;pend de l&rsquo;endroit de la page Web o&ugrave; vous traitez les donn&eacute;es de l&rsquo;utilisateur. En pratique, vous devez savoir comment et quand &eacute;chapper au moins du code HTML, du code JavaScript, du CSS et des URL&nbsp;:</p><ul><li>Utilisez l&rsquo;&eacute;chappement HTML lorsque vous utilisez des donn&eacute;es non fiables entre les balises d&rsquo;ouverture et de fermeture HTML. Par exemple, <code><td>&lt;script&gt;alert(&quot;XSS&quot;);&lt;/script&gt;</td></code>.</li><li>Utilisez l&rsquo;&eacute;chappement JavaScript lorsque vous utilisez des donn&eacute;es non fiables dans l&rsquo;un de vos propres scripts ou &agrave; des endroits o&ugrave; il est possible d&rsquo;inclure du JavaScript, tels que des gestionnaires d&rsquo;&eacute;v&eacute;nements ( <em>onload</em> , <em>onmouseover</em> , etc.). Par exemple,<code><body onload="\x3Cscript\x3Ealert\x28\x22XSS\x22\x29\x3B\x3C\x2Fscript\x3E"></code></li><li>Utilisez l&rsquo;&eacute;chappement CSS lorsque vous utilisez des donn&eacute;es non fiables dans les styles CSS. Par exemple,<code><div style="background-image: \x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x22\x58\x53\x53\x22\x29\x3B\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E"></code></li><li>Utilisez le codage d&rsquo;URL lorsque vous utilisez des donn&eacute;es non fiables dans une URL. Par exemple, <code><a href="http://www.example.com/%3Cscript%3Ealert%28%22xss%22%29%3B%3C%2Fscript%3E"></code>.</li></ul><p>Tout comme avec les filtres personnalis&eacute;s, l&rsquo;&eacute;criture de telles routines d&rsquo;&eacute;chappement par vous-m&ecirc;me prend &eacute;norm&eacute;ment de temps et rend le code difficile &agrave; maintenir. C&rsquo;est pourquoi la plupart des d&eacute;veloppeurs Web utilisent des biblioth&egrave;ques pour g&eacute;rer &agrave; la fois le filtrage et l&rsquo;&eacute;chappement pour la pr&eacute;vention XSS. Cependant, m&ecirc;me si vous utilisez une biblioth&egrave;que tierce, vous devez savoir quels m&eacute;canismes utiliser dans quelles parties de votre code source.</p><h3>Biblioth&egrave;ques utiles</h3><p>Si vous &eacute;crivez des applications en Java, vous pouvez utiliser la biblioth&egrave;que compl&egrave;te <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://owasp.org/www-project-enterprise-security-api/" target="_blank" rel="noreferrer noopener nofollow">ESAPI by OWASP</a> , qui comprend non seulement une protection XSS, mais &eacute;galement des m&eacute;canismes anti-CSRF, etc. Ce projet &eacute;tait &agrave; l&rsquo;origine disponible pour de nombreuses plateformes (.NET, Classic ASP, PHP, ColdFusion & CFML, Python, m&ecirc;me Node.js), mais toutes les autres branches ont malheureusement &eacute;t&eacute; d&eacute;pr&eacute;ci&eacute;es. Bien que l&rsquo;OWASP sugg&egrave;re que vous puissiez toujours trouver les anciennes versions en effectuant une recherche sur Wayback Machine ou GitHub, nous vous d&eacute;conseillons d&rsquo;utiliser des biblioth&egrave;ques obsol&egrave;tes, jamais. Un autre projet OWASP pour Java est le <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://owasp.org/www-project-java-encoder/" target="_blank" rel="noreferrer noopener nofollow">projet OWASP Java Encoder</a> , qui est beaucoup plus simple que ESAPI et enti&egrave;rement ax&eacute; sur la protection XSS.</p><p>Si vous d&eacute;veloppez en PHP, jetez un &oelig;il &agrave; <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=http://htmlpurifier.org/" target="_blank" rel="noreferrer noopener nofollow">HTML Purifier</a> , qui est une biblioth&egrave;que de filtration uniquement d&eacute;velopp&eacute;e activement. Vous pouvez &eacute;galement essayer <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=http://www.bioinformatics.org/phplabware/internal_utilities/htmLawed/" target="_blank" rel="noreferrer noopener nofollow">htmLawed</a> , qui inclut &agrave; la fois le filtrage et l&rsquo;&eacute;chappement, mais est moins fr&eacute;quemment mis &agrave; jour. Malheureusement, le troisi&egrave;me projet de ce type, <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://code.google.com/archive/p/php-antixss/" target="_blank" rel="noreferrer noopener nofollow">php-antixss</a> , a &eacute;t&eacute; abandonn&eacute; pendant de nombreuses ann&eacute;es, nous ne recommandons donc pas de l&rsquo;utiliser.</p><p>Si vous &eacute;crivez du code pour les technologies Microsoft, vous avez de la chance. Microsoft fournit une biblioth&egrave;que compl&egrave;te qui r&eacute;pondra &agrave; tous vos besoins &#8211; <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://documentation.help/Microsoft-AntiXSS/e4ad6086-c78f-453d-9589-0948827410e2.htm" target="_blank" rel="noreferrer noopener nofollow">AntiXSS</a> . Cette biblioth&egrave;que est constamment mise &agrave; jour et bien entretenue et donc aucun autre outil n&rsquo;est n&eacute;cessaire.</p><p>Veuillez noter que le sujet de la pr&eacute;vention XSS est tr&egrave;s complexe, donc ce qui pr&eacute;c&egrave;de n&rsquo;est qu&rsquo;une liste simplifi&eacute;e. Pour un guide complet et d&eacute;taill&eacute;, consultez la <a href="https://translate.google.com/website?sl=auto&tl=fr&hl=fr&u=https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html" target="_blank" rel="noreferrer noopener nofollow">feuille OWASP</a> .</p><h2 id="mitigate">Comment limiter les attaques de cross-site scripting ?</h2><p>Pour rendre la plupart des attaques de script intersite impossibles &agrave; ex&eacute;cuter, utilisez une politique de s&eacute;curit&eacute; du contenu (CSP) sur votre serveur Web. Des en-t&ecirc;tes CSP bien choisis emp&ecirc;chent l&rsquo;attaquant d&rsquo;inclure des ressources ext&eacute;rieures &agrave; l&rsquo;application Web et de communiquer avec des sites externes. Cela rend la plupart des attaques XSS inoffensives &#8211; alors que l&rsquo;attaquant peut amener le navigateur &agrave; ex&eacute;cuter du JavaScript tel que la balise de script elle-m&ecirc;me, ce code ne pourra pas envoyer d&rsquo;informations &agrave; l&rsquo;attaquant ou t&eacute;l&eacute;charger quoi que ce soit &agrave; partir de sites contr&ocirc;l&eacute;s par l&rsquo;attaquant.</p><p>Pour une att&eacute;nuation temporaire, vous pouvez vous fier aux r&egrave;gles WAF (pare-feu d&rsquo;application Web) . Avec de telles r&egrave;gles, les utilisateurs ne pourront pas fournir d&rsquo;entr&eacute;es malveillantes &agrave; votre application Web, de sorte qu&rsquo;aucun code malveillant ne s&rsquo;ex&eacute;cutera dans leurs navigateurs. Cependant, &eacute;tant donn&eacute; que les pare-feu d&rsquo;applications Web ne comprennent pas le contexte de votre application, ces r&egrave;gles peuvent &ecirc;tre contourn&eacute;es par des attaquants et ne doivent jamais &ecirc;tre trait&eacute;es comme une solution permanente.</p><p>Notez que vous ne devez pas vous fier aux filtres XSS int&eacute;gr&eacute;s fournis avec de nombreux navigateurs. Initialement destin&eacute;s &agrave; emp&ecirc;cher les attaques XSS, les filtres int&eacute;gr&eacute;s se sont av&eacute;r&eacute;s inefficaces et faciles &agrave; contourner pour les attaquants. Ils ont &eacute;galement cr&eacute;&eacute; un faux sentiment de s&eacute;curit&eacute; et d&eacute;courag&eacute; les d&eacute;veloppeurs de faire le travail suppl&eacute;mentaire pour &eacute;liminer les vuln&eacute;rabilit&eacute;s de script intersite de leur code. Par cons&eacute;quent, de nombreux fournisseurs de navigateurs ont d&eacute;j&agrave; supprim&eacute; ces filtres c&ocirc;t&eacute; client de leurs produits.</p></div></div></div></div></div></section><section class="elementor-section elementor-top-section elementor-element elementor-element-14d6ae18 pbmit-col-stretched-none pbmit-bg-color-over-image elementor-section-boxed elementor-section-height-default elementor-section-height-default" data-id="14d6ae18" data-element_type="section"><div class="elementor-container elementor-column-gap-default"><div class="elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7cdadcbb pbmit-bg-color-over-image" data-id="7cdadcbb" data-element_type="column"><div class="elementor-widget-wrap elementor-element-populated"><div class="elementor-element elementor-element-30610bca elementor-widget elementor-widget-toggle" data-id="30610bca" data-element_type="widget" data-widget_type="toggle.default"><div class="elementor-widget-container"><style>/*! elementor - v3.20.0 - 13-03-2024 */
.elementor-toggle{text-align:left}.elementor-toggle .elementor-tab-title{font-weight:700;line-height:1;margin:0;padding:15px;border-bottom:1px solid #d5d8dc;cursor:pointer;outline:none}.elementor-toggle .elementor-tab-title .elementor-toggle-icon{display:inline-block;width:1em}.elementor-toggle .elementor-tab-title .elementor-toggle-icon svg{margin-inline-start:-5px;width:1em;height:1em}.elementor-toggle .elementor-tab-title .elementor-toggle-icon.elementor-toggle-icon-right{float:right;text-align:right}.elementor-toggle .elementor-tab-title .elementor-toggle-icon.elementor-toggle-icon-left{float:left;text-align:left}.elementor-toggle .elementor-tab-title .elementor-toggle-icon .elementor-toggle-icon-closed{display:block}.elementor-toggle .elementor-tab-title .elementor-toggle-icon .elementor-toggle-icon-opened{display:none}.elementor-toggle .elementor-tab-title.elementor-active{border-bottom:none}.elementor-toggle .elementor-tab-title.elementor-active .elementor-toggle-icon-closed{display:none}.elementor-toggle .elementor-tab-title.elementor-active .elementor-toggle-icon-opened{display:block}.elementor-toggle .elementor-tab-content{padding:15px;border-bottom:1px solid #d5d8dc;display:none}@media (max-width:767px){.elementor-toggle .elementor-tab-title{padding:12px}.elementor-toggle .elementor-tab-content{padding:12px 10px}}.e-con-inner>.elementor-widget-toggle,.e-con>.elementor-widget-toggle{width:var(--container-widget-width);--flex-grow:var(--container-widget-flex-grow)}</style><div class="elementor-toggle"><div class="elementor-toggle-item"><div id="elementor-tab-title-8111" class="elementor-tab-title" data-tab="1" role="button" aria-controls="elementor-tab-content-8111" aria-expanded="false"> <span class="elementor-toggle-icon elementor-toggle-icon-left" aria-hidden="true"> <span class="elementor-toggle-icon-closed"><svg class="e-font-icon-svg e-fas-caret-right" viewBox="0 0 192 512" xmlns="http://www.w3.org/2000/svg"><path d="M0 384.662V127.338c0-17.818 21.543-26.741 34.142-14.142l128.662 128.662c7.81 7.81 7.81 20.474 0 28.284L34.142 398.804C21.543 411.404 0 402.48 0 384.662z"></path></svg></span> <span class="elementor-toggle-icon-opened"><svg class="elementor-toggle-icon-opened e-font-icon-svg e-fas-caret-up" viewBox="0 0 320 512" xmlns="http://www.w3.org/2000/svg"><path d="M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z"></path></svg></span> </span> <a class="elementor-toggle-title" tabindex="0">Qu'est-ce que le cross-site scripting ?</a></div><div id="elementor-tab-content-8111" class="elementor-tab-content elementor-clearfix" data-tab="1" role="region" aria-labelledby="elementor-tab-title-8111"><p><span><span class="">Le script intersite (XSS) est une vuln&eacute;rabilit&eacute; Web qui permet &agrave; un pirate malveillant d&rsquo;introduire (d&rsquo;injecter) des commandes ind&eacute;sirables dans du code c&ocirc;t&eacute; client l&eacute;gitime (g&eacute;n&eacute;ralement JavaScript) ex&eacute;cut&eacute; par un navigateur au nom de l&rsquo;application Web. </span>On estime qu&rsquo;environ un site Web sur trois est vuln&eacute;rable aux scripts intersites.</span></p></div></div><div class="elementor-toggle-item"><div id="elementor-tab-title-8112" class="elementor-tab-title" data-tab="2" role="button" aria-controls="elementor-tab-content-8112" aria-expanded="false"> <span class="elementor-toggle-icon elementor-toggle-icon-left" aria-hidden="true"> <span class="elementor-toggle-icon-closed"><svg class="e-font-icon-svg e-fas-caret-right" viewBox="0 0 192 512" xmlns="http://www.w3.org/2000/svg"><path d="M0 384.662V127.338c0-17.818 21.543-26.741 34.142-14.142l128.662 128.662c7.81 7.81 7.81 20.474 0 28.284L34.142 398.804C21.543 411.404 0 402.48 0 384.662z"></path></svg></span> <span class="elementor-toggle-icon-opened"><svg class="elementor-toggle-icon-opened e-font-icon-svg e-fas-caret-up" viewBox="0 0 320 512" xmlns="http://www.w3.org/2000/svg"><path d="M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z"></path></svg></span> </span> <a class="elementor-toggle-title" tabindex="0">&Agrave; quel point les scripts intersites sont-ils dangereux ?</a></div><div id="elementor-tab-content-8112" class="elementor-tab-content elementor-clearfix" data-tab="2" role="region" aria-labelledby="elementor-tab-title-8112"><p><span>Le cross-site scripting est souvent sous-estim&eacute;. Bien que la vuln&eacute;rabilit&eacute; n&rsquo;affecte pas directement le serveur Web ou la base de donn&eacute;es, elle peut facilement entra&icirc;ner de graves cons&eacute;quences. Cela peut, par exemple, permettre &agrave; l&rsquo;attaquant d&rsquo;obtenir les informations d&rsquo;identification d&rsquo;utilisateurs privil&eacute;gi&eacute;s ou d&rsquo;utiliser le domaine de votre site vuln&eacute;rable pour en attaquer d&rsquo;autres.</span></p></div></div><div class="elementor-toggle-item"><div id="elementor-tab-title-8113" class="elementor-tab-title" data-tab="3" role="button" aria-controls="elementor-tab-content-8113" aria-expanded="false"> <span class="elementor-toggle-icon elementor-toggle-icon-left" aria-hidden="true"> <span class="elementor-toggle-icon-closed"><svg class="e-font-icon-svg e-fas-caret-right" viewBox="0 0 192 512" xmlns="http://www.w3.org/2000/svg"><path d="M0 384.662V127.338c0-17.818 21.543-26.741 34.142-14.142l128.662 128.662c7.81 7.81 7.81 20.474 0 28.284L34.142 398.804C21.543 411.404 0 402.48 0 384.662z"></path></svg></span> <span class="elementor-toggle-icon-opened"><svg class="elementor-toggle-icon-opened e-font-icon-svg e-fas-caret-up" viewBox="0 0 320 512" xmlns="http://www.w3.org/2000/svg"><path d="M288.662 352H31.338c-17.818 0-26.741-21.543-14.142-34.142l128.662-128.662c7.81-7.81 20.474-7.81 28.284 0l128.662 128.662c12.6 12.599 3.676 34.142-14.142 34.142z"></path></svg></span> </span> <a class="elementor-toggle-title" tabindex="0">Comment &eacute;viter les attaques de cross-site scripting ?</a></div><div id="elementor-tab-content-8113" class="elementor-tab-content elementor-clearfix" data-tab="3" role="region" aria-labelledby="elementor-tab-title-8113"><p><span>La protection contre les scripts intersites est plus difficile que pour la plupart des autres vuln&eacute;rabilit&eacute;s Web, c&rsquo;est pourquoi les vuln&eacute;rabilit&eacute;s XSS sont si courantes. Le meilleur moyen d&rsquo;&eacute;viter les vuln&eacute;rabilit&eacute;s de script intersite consiste &agrave; valider et &agrave; nettoyer les entr&eacute;es de l&rsquo;utilisateur via le filtrage des entr&eacute;es et l&rsquo;encodage des sorties contextuelles.</span></p></div></div></div></div></div><div class="elementor-element elementor-element-7802ffc0 elementor-widget elementor-widget-text-editor" data-id="7802ffc0" data-element_type="widget" data-widget_type="text-editor.default"><div class="elementor-widget-container"><table><thead><tr><th><span>Classification</span></th><th><span>IDENTIFIANT</span></th></tr></thead><tbody><tr><td><span>CAPEC</span></td><td><span>19</span></td></tr><tr><td><span>CWE</span></td><td><span>79</span></td></tr><tr><td><span>WASC</span></td><td><span>8</span></td></tr><tr><td><span>OWASP 2021</span></td><td><span>A3</span></td></tr></tbody></table></div></div></div></div></div></section><section class="elementor-section elementor-top-section elementor-element elementor-element-60a3514e pbmit-col-stretched-none pbmit-bg-color-over-image elementor-section-boxed elementor-section-height-default elementor-section-height-default" data-id="60a3514e" data-element_type="section"><div class="elementor-container elementor-column-gap-default"><div class="elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-687f57b3 pbmit-bg-color-over-image" data-id="687f57b3" data-element_type="column"><div class="elementor-widget-wrap elementor-element-populated"><div class="elementor-element elementor-element-40fe8d55 pbmit-align-left elementor-widget elementor-widget-pbmit_service_element" data-id="40fe8d55" data-element_type="widget" data-widget_type="pbmit_service_element.default"><div class="elementor-widget-container"><div class="pbminfotech-element pbminfotech-element-service pbmit-element-service-style-9 pbmit-element-viewtype-row-column pbminfotech-gap-15px pbmit-infinite-scroll-no pbmit-infinite-scroll-button-no" data-cpt="service" data-totalpagination="2" data-style="9" data-show="6" data-columns="3" data-loop="false" data-autoplay="false" data-center="false" data-nav="false" data-dots="false" data-reverse="false" data-autoplayspeed="1000" data-margin="15px"><div class="pbmit-element-inner"><div class="pbmit-infinite-scroll-data">{"cpt":"service","style":"9","columns":"3","show":"6","order":"DESC","orderby":"DESC"}</div><div class="pbmit-ele-header-area"><div class="pbmit-heading-subheading pbmit-heading-subheading-style-1 left-align "><h2 class="pbmit-element-title"> Nos Services en Cybers&eacute;curit&eacute;</h2><h4 class="pbmit-element-subtitle"><span> </span> Prot&eacute;gez-vous maintenant !</h4></div></div><div class="pbmit-element-posts-wrapper "><div class="swiper-wrapper row multi-columns-row"><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 forfaits  "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-icon-website"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/forfait-evaluation-de-la-surface-dattaque/">Forfait &Eacute;valuation de la surface d&rsquo;attaque</a></h3><div class="pbmit-service-content"><p>La cible de cette &eacute;valuation de la surface d&rsquo;attaque est les ressources r&eacute;seau, les syst&egrave;mes et les terminaux. Il n&rsquo;y a pas de ciblage des membres ou des employ&eacute;s des organisations &agrave; des fins d&rsquo;ing&eacute;nierie sociale.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 forfaits  "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-cyber-icon pbmit-xido-icon pbmit-xido-cyber-icon-global"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/forfait-evaluation-de-la-vulnerabilite/">Forfait &Eacute;valuation de la vuln&eacute;rabilit&eacute;</a></h3><div class="pbmit-service-content"><p>Nous sommes en mesure de fournir des &eacute;valuations de vuln&eacute;rabilit&eacute; des applications web , des serveurs connect&eacute;s &agrave; Internet et des gammes de r&eacute;seaux connect&eacute;s &agrave; Internet .</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 services-a-la-carte  "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-cyber-icon pbmit-xido-icon pbmit-xido-cyber-icon-cloud-1"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/analyse-de-vulnerabilite/">Analyse de vuln&eacute;rabilit&eacute;</a></h3><div class="pbmit-service-content"><p>Cycuri propose des analyses de vuln&eacute;rabilit&eacute; ponctuelles ou r&eacute;guli&egrave;res de votre p&eacute;rim&egrave;tre externe, de vos applications Web ou de votre r&eacute;seau interne.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 forfaits  "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-cyber-icon pbmit-xido-icon pbmit-xido-cyber-icon-shield-1"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/forfait-evaluation-wordpress/">Forfait &Eacute;valuation WordPress</a></h3><div class="pbmit-service-content"><p>Nos services d&rsquo;&eacute;valuation WordPress professionnelle sont populaires aupr&egrave;s de tous ceux qui souhaitent un examen par un tiers ind&eacute;pendant de leur posture de s&eacute;curit&eacute;.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 services-a-la-carte  "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-icon-website"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/test-intrusion-application-web/">Test d&rsquo;intrusion d&rsquo;application Web</a></h3><div class="pbmit-service-content"><p>Que votre application Web soit destin&eacute;e aux employ&eacute;s, B2B ou B2C, il existe un niveau de confiance inh&eacute;rent qui est suppos&eacute; lorsque les utilisateurs sont autoris&eacute;s &agrave; entrer, naviguer et utiliser des applications et/ou des portails d&rsquo;applications.</p></div></div></div></article><article class="pbmit-ele pbmit-ele-service pbmit-service-style-9 col-md-4 services-a-la-carte  "><div class="pbminfotech-post-item"><div class="pbmit-service-icon-wrapper"> <i class="pbmit-xido-icon pbmit-xido-icon-investment"></i></div><div class="pbminfotech-box-content"><h3 class="pbmit-service-title"><a href="https://cycuri.com/service/test-intrusion-black-box-externe/">Test d&rsquo;intrusion Black-Box externe</a></h3><div class="pbmit-service-content"><p>Un test d&rsquo;intrusion externe Black-Box imite les actions d&rsquo;un adversaire r&eacute;el en tentant d&rsquo;exploiter les faiblesses de la s&eacute;curit&eacute; du r&eacute;seau sans les dangers d&rsquo;une menace r&eacute;elle.</p></div></div></div></article></div></div></div></div></div></div></div></div></div></section></div><h3 class="pbmit-hide">Script intersite (XSS)</h3></div></div></main></div></div></div><footer id="colophon" class="pbmit-footer-section site-footer pbmit-footer-style-3 pbmit-text-color-white pbmit-bg-color-blackish pbmit-bg-image-yes pbmit-footer-menu-yes pbmit-footer-widget-yes"><div class="pbmit-footer-section pbmit-footer-big-area-wrapper pbmit-bg-color-transparent"><div class="footer-wrap pbmit-footer-big-area"><div class="container"><div class="row"><div class="col-md-9 col-sm-12"><h3 class="pbmit-footer-big-title">Choisissez des services de test d'intrusion ind&eacute;pendants pour obtenir des conseils d'experts de la s&eacute;curit&eacute; offensive et r&eacute;duire votre exposition aux cyberattaques.</h3></div><div class="col-md-3 col-sm-12"><div class="pbmit-footer-logo"> <img loading="lazy" class="pbmit-main-logo" src="https://xido-demo.pbminfotech.com/cybersecurity/wp-content/uploads/sites/28/2022/10/cybersecurity-logo-white.svg" alt="Cycuri - Services en Cybers&eacute;curit&eacute;" title="Cycuri - Services en Cybers&eacute;curit&eacute;" /></div></div></div></div></div></div><div class="pbmit-footer-section footer-wrap pbmit-footer-widget-area  pbmit-bg-color-transparent"><div class="container"><div class="row"><div class="pbmit-footer-widget pbmit-footer-widget-col-1 col-md-2"></div><div class="pbmit-footer-widget pbmit-footer-widget-col-2 col-md-2"><aside id="nav_menu-2" class="widget-odd widget-last widget-first widget-1 widget widget_nav_menu"><h2 class="widget-title">Notre Entreprise</h2><div class="menu-menu-footer-container"><ul id="menu-menu-footer" class="menu"><li id="menu-item-253" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-253"><a href="https://cycuri.com/contact-us/">Contactez-nous</a></li><li id="menu-item-254" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-254"><a href="https://cycuri.com/faq/">FAQ</a></li><li id="menu-item-256" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-256"><a href="#">Carri&egrave;res</a></li><li id="menu-item-257" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-257"><a href="https://cycuri.com/about-us/">&Agrave; propos de nous</a></li><li id="menu-item-260" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-260"><a href="https://cycuri.com/blog-cybersecurite/">Notre Blog</a></li></ul></div></aside></div><div class="pbmit-footer-widget pbmit-footer-widget-col-4 col-md-6"><aside id="text-2" class="widget-odd widget-first widget-1 widget widget_text"><h2 class="widget-title">Restez en contact</h2><div class="textwidget"><script>(function() {
	window.mc4wp = window.mc4wp || {
		listeners: [],
		forms: {
			on: function(evt, cb) {
				window.mc4wp.listeners.push(
					{
						event   : evt,
						callback: cb
					}
				);
			}
		}
	}
})();</script><form id="mc4wp-form-1" class="mc4wp-form mc4wp-form-206" method="post" data-id="206" data-name="Mailchimp" ><div class="mc4wp-form-fields"><div class="pbmit-footer-newsletter"> <input type="email" name="EMAIL" placeholder="Recevez des news & mises &agrave; jour" required /> <button type="submit" value="Sign up"><i class="pbmit-base-icon-arroba"></i></button></div> Notre expertise, &agrave; votre service, dans le domaine de la cyber s&eacute;curit&eacute;.</div><label style="display: none !important;">Laissez ce champ vide si vous &ecirc;tes humain&nbsp;: <input type="text" name="_mc4wp_honeypot" value="" tabindex="-1" autocomplete="off" /></label><input type="hidden" name="_mc4wp_timestamp" value="1710858061" /><input type="hidden" name="_mc4wp_form_id" value="206" /><input type="hidden" name="_mc4wp_form_element_id" value="mc4wp-form-1" /><div class="mc4wp-response"></div></form></div></aside><aside id="text-3" class="widget-even widget-last widget-2 widget widget_text"><div class="textwidget"><ul class="pbmit-social-links"><li class="pbmit-social-li pbmit-social-facebook "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-facebook-squared"></i></span></a></li><li class="pbmit-social-li pbmit-social-twitter "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-twitter"></i></span></a></li><li class="pbmit-social-li pbmit-social-instagram "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-instagram"></i></span></a></li><li class="pbmit-social-li pbmit-social-youtube "><a href="#" target="_blank" rel="noopener"><span><i class="pbmit-base-icon-youtube-play"></i></span></a></li></ul></div></aside></div></div></div></div><div class="pbmit-footer-section pbmit-footer-text-area  pbmit-bg-color-transparent"><div class="container"><div class="pbmit-footer-text-inner"><div class="row"><div class="col-md-6"><div class="pbmit-footer-copyright-text-area"> Copyright &copy; 2024 <a href="https://cycuri.com/">Cycuri - Services en Cybers&eacute;curit&eacute;</a>, All Rights Reserved.</div></div><div class="col-md-6"><div class=" pbmit-footer-menu-area"><div class="menu-copyright-menu-container"><ul class="pbmit-footer-menu"><li class="menu-item menu-item-type-custom menu-item-object-custom menu-item-266"><a rel="privacy-policy" href="https://cycuri.com/politique-de-confidentialite/">Politique de confidentialit&eacute;</a></li><li class="menu-item menu-item-type-custom menu-item-object-custom menu-item-267"><a href="https://cycuri.com/contact-us/">Contact</a></li></ul></div></div></div></div></div></div></div></footer></div></div> <a href="#" class="scroll-to-top"><i class="pbmit-base-icon-up-open-big"></i></a> <script>(function() {function maybePrefixUrlField () {
  const value = this.value.trim()
  if (value !== '' && value.indexOf('http') !== 0) {
    this.value = 'http://' + value
  }
}

const urlFields = document.querySelectorAll('.mc4wp-form input[type="url"]')
for (let j = 0; j < urlFields.length; j++) {
  urlFields[j].addEventListener('blur', maybePrefixUrlField)
}
})();</script> <script>const lazyloadRunObserver = () => {
					const dataAttribute = 'data-e-bg-lazyload';
					const lazyloadBackgrounds = document.querySelectorAll( `[${ dataAttribute }]:not(.lazyloaded)` );
					const lazyloadBackgroundObserver = new IntersectionObserver( ( entries ) => {
					entries.forEach( ( entry ) => {
						if ( entry.isIntersecting ) {
							let lazyloadBackground = entry.target;
							const lazyloadSelector = lazyloadBackground.getAttribute( dataAttribute );
							if ( lazyloadSelector ) {
								lazyloadBackground = entry.target.querySelector( lazyloadSelector );
							}
							if( lazyloadBackground ) {
								lazyloadBackground.classList.add( 'lazyloaded' );
							}
							lazyloadBackgroundObserver.unobserve( entry.target );
						}
					});
					}, { rootMargin: '100px 0px 100px 0px' } );
					lazyloadBackgrounds.forEach( ( lazyloadBackground ) => {
						lazyloadBackgroundObserver.observe( lazyloadBackground );
					} );
				};
				const events = [
					'DOMContentLoaded',
					'elementor/lazyload/observe',
				];
				events.forEach( ( event ) => {
					document.addEventListener( event, lazyloadRunObserver );
				} );</script> <script src="https://cycuri.com/wp-content/plugins/contact-form-7/includes/swv/js/index.js?ver=5.9.2" id="swv-js"></script> <script id="contact-form-7-js-extra">var wpcf7 = {"api":{"root":"https:\/\/cycuri.com\/wp-json\/","namespace":"contact-form-7\/v1"},"cached":"1"};</script> <script src="https://cycuri.com/wp-content/plugins/contact-form-7/includes/js/index.js?ver=5.9.2" id="contact-form-7-js"></script> <script src="https://cycuri.com/wp-content/plugins/breeze/assets/js/js-front-end/breeze-lazy-load.min.js?ver=2.1.6" id="breeze-lazy-js"></script> <script src="https://cycuri.com/wp-includes/js/hoverIntent.min.js?ver=1.10.2" id="hoverIntent-js"></script> <script id="megamenu-js-extra">var megamenu = {"timeout":"300","interval":"100"};</script> <script src="https://cycuri.com/wp-content/plugins/megamenu/js/maxmegamenu.js?ver=3.3.1" id="megamenu-js"></script> <script defer src="https://cycuri.com/wp-content/plugins/mailchimp-for-wp/assets/js/forms.js?ver=4.9.11" id="mc4wp-forms-api-js"></script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/lib/ResizeSensor.min.js?ver=1.7.0" id="jet-resize-sensor-js"></script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/lib/sticky-sidebar/sticky-sidebar.min.js?ver=3.3.1" id="jet-sticky-sidebar-js"></script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/lib/jsticky/jquery.jsticky.js?ver=1.1.0" id="jsticky-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor-pro/assets/js/webpack-pro.runtime.min.js?ver=3.20.0" id="elementor-pro-webpack-runtime-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/js/webpack.runtime.min.js?ver=3.20.1" id="elementor-webpack-runtime-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/js/frontend-modules.min.js?ver=3.20.1" id="elementor-frontend-modules-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/vendor/wp-polyfill-inert.min.js?ver=3.1.2" id="wp-polyfill-inert-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/vendor/regenerator-runtime.min.js?ver=0.14.0" id="regenerator-runtime-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/vendor/wp-polyfill.min.js?ver=3.15.0" id="wp-polyfill-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/hooks.min.js?ver=c6aec9a8d4e5a5d543a1" id="wp-hooks-js"></script> <script src="https://cycuri.com/wp-includes/js/dist/i18n.min.js?ver=7701b0c3857f914212ef" id="wp-i18n-js"></script> <script id="wp-i18n-js-after">wp.i18n.setLocaleData( { 'text direction\u0004ltr': [ 'ltr' ] } );</script> <script id="elementor-pro-frontend-js-before">var ElementorProFrontendConfig = {"ajaxurl":"https:\/\/cycuri.com\/wp-admin\/admin-ajax.php","nonce":"cad01349a6","urls":{"assets":"https:\/\/cycuri.com\/wp-content\/plugins\/elementor-pro\/assets\/","rest":"https:\/\/cycuri.com\/wp-json\/"},"shareButtonsNetworks":{"facebook":{"title":"Facebook","has_counter":true},"twitter":{"title":"Twitter"},"linkedin":{"title":"LinkedIn","has_counter":true},"pinterest":{"title":"Pinterest","has_counter":true},"reddit":{"title":"Reddit","has_counter":true},"vk":{"title":"VK","has_counter":true},"odnoklassniki":{"title":"OK","has_counter":true},"tumblr":{"title":"Tumblr"},"digg":{"title":"Digg"},"skype":{"title":"Skype"},"stumbleupon":{"title":"StumbleUpon","has_counter":true},"mix":{"title":"Mix"},"telegram":{"title":"Telegram"},"pocket":{"title":"Pocket","has_counter":true},"xing":{"title":"XING","has_counter":true},"whatsapp":{"title":"WhatsApp"},"email":{"title":"Email"},"print":{"title":"Print"},"x-twitter":{"title":"X"},"threads":{"title":"Threads"}},"facebook_sdk":{"lang":"fr_FR","app_id":""},"lottie":{"defaultAnimationUrl":"https:\/\/cycuri.com\/wp-content\/plugins\/elementor-pro\/modules\/lottie\/assets\/animations\/default.json"}};</script> <script src="https://cycuri.com/wp-content/plugins/elementor-pro/assets/js/frontend.min.js?ver=3.20.0" id="elementor-pro-frontend-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/lib/waypoints/waypoints.min.js?ver=4.0.2" id="elementor-waypoints-js"></script> <script src="https://cycuri.com/wp-includes/js/jquery/ui/core.min.js?ver=1.13.2" id="jquery-ui-core-js"></script> <script id="elementor-frontend-js-before">var elementorFrontendConfig = {"environmentMode":{"edit":false,"wpPreview":false,"isScriptDebug":false},"i18n":{"shareOnFacebook":"Partager sur Facebook","shareOnTwitter":"Partager sur Twitter","pinIt":"L\u2019\u00e9pingler","download":"T\u00e9l\u00e9charger","downloadImage":"T\u00e9l\u00e9charger une image","fullscreen":"Plein \u00e9cran","zoom":"Zoom","share":"Partager","playVideo":"Lire la vid\u00e9o","previous":"Pr\u00e9c\u00e9dent","next":"Suivant","close":"Fermer","a11yCarouselWrapperAriaLabel":"Carousel | Scroll horizontal: Fl\u00e8che gauche & droite","a11yCarouselPrevSlideMessage":"Diapositive pr\u00e9c\u00e9dente","a11yCarouselNextSlideMessage":"Diapositive suivante","a11yCarouselFirstSlideMessage":"Ceci est la premi\u00e8re diapositive","a11yCarouselLastSlideMessage":"Ceci est la derni\u00e8re diapositive","a11yCarouselPaginationBulletMessage":"Aller \u00e0 la diapositive"},"is_rtl":false,"breakpoints":{"xs":0,"sm":480,"md":768,"lg":1025,"xl":1440,"xxl":1600},"responsive":{"breakpoints":{"mobile":{"label":"Portrait mobile","value":767,"default_value":767,"direction":"max","is_enabled":true},"mobile_extra":{"label":"Mobile Paysage","value":880,"default_value":880,"direction":"max","is_enabled":false},"tablet":{"label":"Tablette en mode portrait","value":1024,"default_value":1024,"direction":"max","is_enabled":true},"tablet_extra":{"label":"Tablette en mode paysage","value":1200,"default_value":1200,"direction":"max","is_enabled":false},"laptop":{"label":"Portable","value":1366,"default_value":1366,"direction":"max","is_enabled":false},"widescreen":{"label":"\u00c9cran large","value":2400,"default_value":2400,"direction":"min","is_enabled":false}}},"version":"3.20.1","is_static":false,"experimentalFeatures":{"e_optimized_assets_loading":true,"e_optimized_css_loading":true,"e_font_icon_svg":true,"additional_custom_breakpoints":true,"e_swiper_latest":true,"theme_builder_v2":true,"block_editor_assets_optimize":true,"ai-layout":true,"landing-pages":true,"e_lazyload":true,"e_image_loading_optimization":true,"notes":true,"form-submissions":true},"urls":{"assets":"https:\/\/cycuri.com\/wp-content\/plugins\/elementor\/assets\/"},"swiperClass":"swiper","settings":{"page":[],"editorPreferences":[]},"kit":{"active_breakpoints":["viewport_mobile","viewport_tablet"],"global_image_lightbox":"yes","lightbox_enable_counter":"yes","lightbox_enable_fullscreen":"yes","lightbox_enable_zoom":"yes","lightbox_enable_share":"yes","lightbox_title_src":"title","lightbox_description_src":"description"},"post":{"id":1274,"title":"Script%20intersite%20%28XSS%29","excerpt":"","featuredImage":false}};</script> <script src="https://cycuri.com/wp-content/plugins/elementor/assets/js/frontend.min.js?ver=3.20.1" id="elementor-frontend-js"></script> <script src="https://cycuri.com/wp-content/plugins/elementor-pro/assets/js/elements-handlers.min.js?ver=3.20.0" id="pro-elements-handlers-js"></script> <script id="jet-sticky-frontend-js-extra">var JetStickySettings = {"elements_data":{"sections":[],"columns":[]}};</script> <script src="https://cycuri.com/wp-content/plugins/jetsticky-for-elementor/assets/js/jet-sticky-frontend.js?ver=1.0.4" id="jet-sticky-frontend-js"></script> </body></html>
<!-- Cache served by breeze CACHE - Last modified: Tue, 19 Mar 2024 14:21:01 GMT -->
Gravité:		grave
Prévalence:		découvert très souvent
Portée:		sites et applications web
Impact technique :		code malveillant exécuté dans le navigateur
Conséquences dans le pire des cas :		compromis complet du système
Solution rapide:		utiliser le filtrage et l’encodage des entrées utilisateur