X hits on this document

81 views

0 shares

0 downloads

0 comments

29 / 46

XSS – de la brise à l'ouragan – II) Chute violente du baromètre - les catalyseurs e) Ce type d'attaque est-il probable ?

Que faut-il retenir ? 1) Les vulnérabilités repérées sont aujourd'hui corrigées ! (réaction positive et rapide, en particulier de Facebook et Google). 2) dans trois cas sur quatre, la vulnérabilité affectait le coeur de l'applica- tion ou un module de base < filtrage insuffisant des contenus fournis par l'utilisateur ; dans le dernier cas (Orkut), la vulnérabilité affectait une ap- plication externe ; 3) dans le cas de services reposant sur un SSO, la surface d'attaque et les conséquences potentielles d'une attaque, donc le risque, sont plus grands ; cf. services Google ; 4) l'option http only, très utilisée aujourdh'ui, empêche l'accès aux co- okies de sessions sur les navigateurs récents (FF 3.06 et sqq, IE 7 par- tiellement), mais ne bloque pas la réplication d'un ver XSS.

Pourquoi autant de sites sont vulnérables ? (~ 85 % < Arshan Dabirsiaghi, OWASP Conference, sept. 2008) (~ 63 % < Rapport WhiteHat Security, mai 2009) (~ 82% des réseaux sociaux < rapport WH Security, mai 2009)

Document info
Document views81
Page views90
Page last viewedSat Oct 29 00:33:15 UTC 2016
Pages46
Paragraphs417
Words3787

Comments