Self-XSS

From Wikipedia, the free encyclopedia

Le Self-XSS (self cross-site scripting) est un type de Vulnérabilité (informatique) utilisé pour prendre le contrôle des comptes web des victimes. Dans une attaque Self-XSS, la victime de l'attaque exécute un code malveillant dans son navigateur, qui expose les données personnelles à l'attaqueur.

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article ne cite pas suffisamment ses sources ().

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer ().

Aperçu

Un avertissement d'attaque Self-XSS dans une console développeur web

Self-XSS (pour self Cross-Site Scripting ou script intersites auto initié)[1] fonctionne en piégeant les utilisateurs afin de leur faire copier et coller du code malveillant dans leur navigateur. Cela inclut à la fois l'endroit où un utilisateur copie une charge utile dans une entrée et dans la console du développeur Web. En général, l'attaqueur publie un message qui dit que en copiant et exécutant un certain code, l'utilisateur pourrait obtenir une récompense virtuelle ou pirater un site web. Pour info, le code autorise l'attaqueur à accéder au hijack the la victime. En général, l'attaque Self-SXS a un impact très peu conséquent; néanmoins, le remplacer avec une vulnérabilité falsification de requête intersites son impact s'intensifie jusqu'à atteindre celui d'une attaque XSS classique.

Histoire et changements

Par le passé, une attaque similaire a eu lieu, dans laquelle les utilisateurs furent piégés afin de coller du code malveillant en JavaScript dans leur barre d'adresse. Lorsque les éditeurs de navigateurs l'ont arrêtée en prévenant les utilisateurs du danger, les pirates informatiques ont commencé a utiliser l'attaque Self-XSS comme nous la connaissons actuellement.

Les éditeurs web et ceux de sites ont pris des mesures de sécurité pour anéantir l'attaque. FireFox et Google Chrome ont eux deux commencé à implémenter des protections pour avertir les utilisateurs des attaques Self-XSS.

Facebook et autres sites affichent maintenant un message d'avertissement dans la console web, et les relies avec des pages expliquant l'attaque en détail.

Étymologie

Le terme « self » (self-XSS) vient du fait que l'utilisateur s'attaque lui-même. L'acronyme « XSS » (cross-site scripting) désigne une attaque par Self-attaque, car les deux types d'attaques exécutent du code malveillant sur un site légitime. Cependant, Self-XSS a un impact bien moindre que la plupart des autres vulnérabilités XSS, car elle repose sur l'ingénierie sociale. De plus, contrairement à d'autres vulnérabilités XSS, le risque d'Self-XSS lié à l'utilisation de la console de développement web ne peut être totalement éliminé par l'opérateur du site.

Notes et références

Related Articles

Wikiwand AI