Les failles les plus dangereuses sur une application web: XSS, CSRF, SQL injection, CORS (épisode 2/4)

Concevoir une plateforme web ou un service en SaaS nécessite de prendre en considération la sécurité de celui-ci en profondeur. Sans cet effort, l'ensemble des données, souvent stratégiques, peut être exposé par une simple vulnérabilité.

Quatre épisodes pour comprendre les failles de sécurité les plus dangereuses d'un projet SaaS

  1. CORS
  2. XSS
  3. CSRF
  4. SQL injection

XSS

La faille XSS est liée à un défaut de traitement des données envoyées par les utilisateurs d'une plateforme web. Qu'il s'agisse d'un formulaire ou d'un moteur de recherche. Lorsque des données sont envoyées, elles sont généralement sauvées en base de données puis affichées sur d'autres pages du projet web. Par exemple un utilisateur peut remplir un formulaire pour écrire un commentaire sur un blog. Celui-ci sera alors présenté à l'ensemble des autres internautes.

La faille XSS en détail

Un cyber-criminel peut exploiter un défaut de traitement afin de récupérer des informations confidentielles. Dans l'exemple ci-dessus la personne malveillante va envoyer autre chose qu'un commentaire classique. Elle va envoyer au serveur un ensemble de code javascript souvent malicieux. Si le serveur ne traite pas ces données avant de les afficher, ce code sera exécuté par l'ensemble des internautes qui afficherons le commentaire. Ce commentaire peut porter différentes charges utiles: par exemple un code forçant les internautes de votre site à être redirigé vers d'autres sites souvent eux aussi malveillants, ou encore un bout de code permettant de récupérer des cookies de session afin d'usurper des utilisateurs.

Comment éviter la faille XSS ?

Lors du développement d'une fonctionnalité, les développeurs doivent prendre le temps pour traiter les données envoyées par un internaute. Ils doivent commencer par encoder les caractères, notamment si du code html ou javascript a été envoyé. Ces informations peuvent être encodées ou simplement supprimées. En réalisant ce traitement votre application web va empêcher que du code javascript malveillant ne soit présent dans les pages de vos projets.

Retrouvez une description des autres failles de sécurité les plus dangereuses du web

Nous proposons un service de cyber-sécurité.

Contactez-nous