BLOG

die Script intersite (XSS)

Le cross-site scripting est une « vulnérabilité qui permet l’exécution de code JavaScript non autorisé sur un site Web » (MalCare). Il existe deux types de XSS : réfléchi et stocké. Le XSS réfléchi est considéré comme moins nocif et “est une attaque ponctuelle où la charge utile envoyée dans une attaque XSS réfléchie n’est valide que sur cette seule demande” (sciencedirect). Celui qui “cliquera sur le lien qui contient le script malveillant sera la seule personne directement touchée par cette attaque”. Jetons un coup d’œil à un exemple de l’attaque XSS sur TikTok.

En 2020, le chercheur en sécurité, Muhammed Taskiran, a découvert une vulnérabilité liée “à un paramètre d’URL sur le domaine tiktok.com qui n’a pas été correctement nettoyé” (zdnet). Alors qu’il fuzzait la plate-forme,pirater un compte tiktok il a découvert que “ce problème pouvait être exploité pour obtenir des scripts intersites réfléchis, conduisant potentiellement à l’exécution de code malveillant dans la session de navigateur d’un utilisateur”.

Alors qu’est-ce que cela signifie pour l’utilisateur de TikTok ? Eh bien, si les attaquants ont réussi à exécuter du code malveillant (c’est-à-dire des scripts) dans la session de navigateur d’un utilisateur, alors la session de l’utilisateur a été piratée et l’attaquant peut faire ce qu’il veut ! Ils peuvent rediriger l’utilisateur vers des sites Web malveillants, enregistrer l’activité en ligne de l’utilisateur ou même télécharger des fichiers malveillants sur le système de l’utilisateur et pirater son appareil.

Comment se protéger contre les attaques XSS

Pour protéger et empêcher une attaque XSS de se produire, vous devez utiliser le nettoyage des données sur le domaine tiktok.com pour vous assurer que seules les variables appropriées sont insérées.

LEAVE A RESPONSE

Your email address will not be published. Required fields are marked *

Related Posts