🤞 Cross-site Scripting (XSS) est une attaque par injection de code côté client. L'attaquant vise à exécuter des scripts malveillants dans un navigateur Web de la victime en incluant du code malveillant dans une page Web ou une application Web légitime. L'attaque réelle se produit lorsque la victime visite la page Web ou l'application Web qui exécute le code malveillant.
La page Web ou l'application Web devient un moyen de fournir le script malveillant au navigateur de l'utilisateur. Les véhicules vulnérables couramment utilisés pour les attaques de type Cross-site Scripting sont les forums, les babillards électroniques et les pages Web qui autorisent les commentaires.
🌐 Une page Web ou une application Web est vulnérable à XSS si elle utilise une entrée utilisateur non contrôlée dans la sortie qu'elle génère. Cette entrée utilisateur doit ensuite être analysée par le navigateur de la victime. Les attaques XSS sont possibles dans VBScript, ActiveX, Flash et même CSS. Cependant, ils sont les plus courants en JavaScript, principalement parce que JavaScript est fondamental pour la plupart des expériences de navigation.
