Les attaques XSS (Cross-Site Scripting) sont un type de vulnérabilité appelée “injection”.
Certains scripts malicieux peuvent être injectés dans des sites de confiances. Les attaques XSS arrivent quand un attaquant envoie du code malicieux, généralement depuis un formulaire dans un navigateur, sur le navigateur d’un autre visiteur.
Ces failles permettant à ces attaques d’être réalisées sont malheureusement très répandues et arrivent partout dans n’importe quel champ de formulaire manquant de validation et désinfection.
Un attaquant peut utiliser une XSS pour obtenir des informations privées, des sessions web. Le navigateur de l’utilisateur final ne peut quasiment pas de moyen de savoir que le script en question est dangereux et l’exécutera alors..
Le script malicieux peut accéder aux cookies, jetons de sessions, ou n’importe quelle donnée sensible contenue dans le navigateur et utilisé sur ce site. Ces scripts peuvent même réécrire le contenu de la page HTML, amenant alors à un hameçonnage (phishing).