Faille XSS

Définition d'une faille XSS

XSS est un acronyme signifiant : Cross Site Scripting.

Un site peut être vulnérable à ce type de faille via ses URL et formulaires. Le hacker utilise la non-sécurisation de données en provenance d'une URL (par exemple d'une URL de recherche) ou d'un formulaire en cherchant à injecter certaines données comme du code...

Exemple d'une faille XSS

Le problème type et l'exploitation simple d'une faille XSS provient de l'utilisation d'une URL dont les paramètres ne sont pas sécurisés avant l'utilisation. Ainsi un script non sécurisé pourra exécuter / afficher directement du code passé via une URL / formulaire.

C'est un problème grave sachant que la base de la sécurité pour un développeur FRONT END est de sécuriser les entrées des utilisateurs.

Concrètement le hacker tentera de passer du code et testera si le script sécurise bien les données transmises.

Comment exploiter une faille XSS pour le Référencement black hat ?

L'objectif d'un référenceur black hat exerçant dans l'illégalité est d'obtenir des backlinks. Il injectera directement des liens via une faille XSS.

L'injection en elle-même n'est pas compliquée, ce qui est plus difficile est de trouver les sites vulnérables et surtout de faire prendre en compte par les moteurs ce type de lien. En effet, les URL vulnérables sont parfois assez farfelues.

Des sites à très haut pagerank et au trustrank certainement incroyable souffraient de ce type de faille. Pour n'en citer qu'un : Celui de la NASA 🙂

Légalité et utilisation d'une faille XSS

Ce tutoriel ne parle bien entendu pas de hacking, d'ailleurs je n'y connais pas grand chose et c'est souvent une activité interdite.

En guise de rappel voici deux articles du code pénal pouvant s'appliquer aux hackers exploitant les failles XSS :

L'article 323-2

"Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende."

L'article 323-3

"Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende."

Cet article n'est donc publié que dans un souci informatif et j'espère qu'il permettra de faire prendre conscience d'avantage de l'absolue nécessité aux développeurs de sécuriser leurs scripts face à ce type de faille.

Une question ? Venez la poser sur notre forum black hat !

A propos de l'auteur

SEO blackette

Seoblackette est spécialisée dans les techniques de netlinking black hat et dans le nettoyage des pages de résultats (E-réputation) . Elle travaille essentiellement pour des sites anglais et américains évoluant dans un environnement hyper-concurrentiel. Son blog référencement black hat présente les bases du black SEO aux débutants.