Gardenat Pierre

Le XSS (pour Cross Site Scripting) est à la fois connu et mal connu : connu parce qu'il est aussi vieux que le Web lui-même, ce qui fait qu'aucune personne s'intéressant même de loin à la sécurité informatique n'ignore ses grands principes, mal connu parce que comme tout ennemi familier que l'on a connu petit et chétif, il a grandi et s'est développé dans l'ombre de son grand frère, le Web, en n'attirant que peu les regards et en conservant aux yeux de beaucoup d'experts en sécurité l'image d'un parasite mineur, juste capable de provoquer l'affichage de messages d'avertissement inoffensifs ou de lancer des attaques reposant sur un minimum d'ingénierie sociale.

Résumé de l’épisode précédent : le XSS, en tirant notamment parti de l’API DOM, permet de réaliser des attaques si puissantes que Jeremiah Grossman sous-titrait son livre XSS Attacks paru en avril 2007 « XSS is the New Buffer Overflow, JavaScript Malware is the New Shell Code »2. Il est important d’examiner de plus près cette analogie entre XSS et attaques applicatives classiques afin de bien comprendre toute l’étendue des possibilités offertes par le XSS à un attaquant, notamment à travers l’injection de différents types de codes JavaScript malveillants. Dans la troisième partie de cet article, nous essaierons d’évaluer le risque réel de différents scénarios d’attaques, tirant notamment partie des trois erreurs les plus fréquemment commises à propos du XSS.

Résumé des épisodes précédents : le XSS tend à devenir une composante importante de scénarios d'infection massive exploitant des vecteurs d'attaques combinées visant, entre autres, à constituer des réseaux de machines zombies. La parenté du XSS avec des techniques d’attaques applicatives par débordement de tampon permet de bien comprendre la diversité et la puissance des attaques que le XSS rend possibles. Nous allons maintenant nous interroger sur les raisons susceptibles d’expliquer le relatif échec de la lutte anti-XSS aujourd’hui et illustrerons notre propos en essayant d’évaluer le risque réel de différents scénarios d’attaques, tirant notamment parti des trois erreurs les plus fréquemment commises à propos du XSS.