X hits on this document

164 views

0 shares

0 downloads

0 comments

41 / 46

XSS – de la brise à l'ouragan – III) Tous aux abris – les contre-mesures

  • b)

    Aware or a war ?

    • -

      Il est facile de filtrer le contenu de variables typées...

    • --

      > Il est plus compliqué de nettoyer un code HTML destiné à

être intégré au milieu... de code HTML cf. webmails et cf. Nduja (R. Valetta) ;

  • -

    les vecteurs d'attaque sont nombreux et augmentent avec

le temps : cf. http://ha.ckers.org/xss.html

  • -

    dans un contexte de défense en profondeur, il faut aussi

chercher à limiter l'impact d'une attaque réussie : cf. test de Turing pour les vers XSS ;

  • -

    les navigateurs « réagissent » différemment ;

  • -

    tout élément chargé dans un navigateur est susceptible

d'offrir une surface d'attaque XSS (cf. images par ex.)

Document info
Document views164
Page views173
Page last viewedMon Jan 23 19:15:24 UTC 2017
Pages46
Paragraphs417
Words3787

Comments