Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Attaques sur websites Sommaire Cookies VS Session Web footprinting Vulnerability scanners XSS attack SQL injection CSRF attack HTTP Parameter Pollution HPP Directory traversal Session hijacking Cookies attack DDOS attack Contre-mesures CCookies VS Session

Sommaire Cookies VS Session Web footprinting Vulnerability scanners XSS attack SQL injection CSRF attack HTTP Parameter Pollution HPP Directory traversal Session hijacking Cookies attack DDOS attack Contre-mesures CCookies VS Session Server-side Session Une session est stockée sur le serveur Client-side Cookies Un cookie est stocké sur le client Web footprinting Gathering information related to the web application likeWhois information Netcraft information Firewall information Ports and services running Server and OS discovery Hidden contents Vulnerability scanners Scanners like Nikto Nessus URLscan Acunetix can be used to ?nd out vulnerabilities in a web application CXSS Attack Les attaques XSS utilisent des ressources Web tierces pour exécuter des scripts dans le navigateur Web de la victime ou dans une application pouvant être scriptée Plus précisément l ? attaquant injecte un JavaScript malveillant dans la base de données d ? un site Web Lorsque la victime demande une page du site Web le site Web transmet la page à son navigateur avec le script malveillant intégré au corps HTML Le navigateur de la victime exécute ce script qui envoie par exemple le cookie de la victime au serveur de l ? attaquant qui l ? extrait et l ? utilise pour détourner la session Les conséquences les plus graves se produisent lorsque XSS sert à exploiter des vulnérabilités supplémentaires Ces vulnérabilités peuvent non seulement permettre à un attaquant de voler des cookies mais aussi d ? enregistrer les frappes de touches et des captures d ? écran de découvrir et de collecter des informations réseau et d ? accéder et de contrôler à distance l ? ordinateur de la victime CType des attaques XSS Stored cross site Scripting Re ected cross site Scripting Dom based cross site Scripting Stored XSS or persistent XSS l ? injection du script est permanente stocke dans les serveurs Cibles comme database forum message comment ?eld Prenons pour exemple un forum ou un blog L ? attaquant va envoyer un message ou un commentaire contenant le contenu malicieux Lorsque les autres utilisateurs vont se rendre sur le forum ou le blog ce contenu sera là à chaque fois qu ? ils a ?cheront la page Re ected XSS or non-persistent XSS l ? injection du script est re étée sur le serveur web comme error message search result cette attaque est destinée vers un utilisateur par un email ou autre Lorsqu'un utilisateur est amené à cliquer sur un lien malveillant à soumettre un formulaire spécialement conçu ou même à simplement naviguer sur un site malveillant le code injecté se rend sur le site Web vulnérable ce qui re ète l'attaque dans le navigateur de l'utilisateur Le navigateur exécute alors le code car il provient d'un serveur de con ?ance ? Dom Based XSS or XSS local Ce type d ? attaque est aussi appelé XXS local En chargeant une de ces adresses URL manipulées un code malicieux est exécuté sans véri ?cation gr? ce à une faille présente dans un script côté client Au contraire des XXS persistants et