Jump to content

le Cross-Site Scripting : La Nouvelle Arme des Hackers !!


Hicham
 Share

Recommended Posts

Un nouvel angle d’attaque pour les hackers : le cross-site scripting est en hausse de 69%

 

Avez-vous entendu parler du cross-site scripting, ou encore des attaques XSS ? Si l’on se réfère à la bible Wikipédia, le cross-site scripting est un « type de faille de sécurité des sites Web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page ».

Autrement dit, les possibilités des XSS sont très larges puisque l’attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash…) et de nouvelles possibilités sont régulièrement découvertes notamment avec l’arrivée de nouvelles technologies comme HTML5.

À titre d’exemple, avec ce type de faille il est simpliste de rediriger l’utilisateur vers un autre site afin de récupérer des informations sur ce dernier, ou encore de voler la session en récupérant les cookies.

un-nouvel-angle-dattaque-pour-les-hackers-le-cross-site-scripting-est-en-hausse-de-69-1.jpg

Si je vous en parle aujourd’hui, ce n’est pas pour vous faire un cours sur le sujet, mais plutôt revenir sur un rapport qu’à publié FireHost, une société s’occupant de la sécurité des hébergement sur le cloud. Celle-ci mentionne que ces attaques XSS sont de plus en plus populaires, et commencent à ravir les pirates. Entre le deuxième et troisième trimestre 2012, ce type d’attaque a augmenté d’environ 69%.

La société britannique bloque les divers types d’attaques qui essayent de nuire aux bases de données de ses clients, à ses applications Web et aux sites Web hébergés sur ses centres de données américains et européens. Au dernier trimestre, l’entreprise a bloqué 15 millions de cyberattaques, et c’est exactement sur ses résultats que se base l’analyse des statistiques. Le rapport se penche sur les attaques entre juillet et septembre, en accordant une attention particulière à quatre types d’attaques qu’il considère comme étant les plus méchantes et dangereuses : Cross-site Scripting (XSS), Cross-Site Request Forgery (CSRF), les Directory Traversals et les injections SQL.

Voici comment FireHost catégorise les deux types d’attaques :

 

XSS attacks involve a web application gathering malicious data from a user via a trusted site (often coming in the form of a hyperlink containing malicious content), whereas CSRF attacks exploit the trust that a site has for a particular user instead. These malicious security exploits can also be used to steal sensitive information such as user names, passwords and credit card details – without the site or user’s knowledge. The severity of these attacks is dependent on the sensitivity of the data handled by the vulnerable site and this ranges from personal data found on social networking sites, to the financial and confidential details entered on ecommerce sites amongst others.

 

La société affirme qu’entre les deux trimestres, il y a eu une augmentation considérable des attaques XSS et CSRF : celles-ci ont progressé pour représenter 64% de quatre attaques au troisième trimestre (une pénétration accrue de 28%). Ainsi, l’attaque XSS devient maintenant le type d’attaque la plus fréquente dans le groupe : les serveurs de FireHost ont bloqué près de 603 016 attaques pendant le Q1, près de 1 018 817 en Q3. Totalement dément ! Quant-aux attaques CSRF, celles-ci occupent la deuxième place, et ayant calculé à près de 843 517 attaques.

Selon les statistiques dévoilées, 74% des attaques bloquées par FireHost provenaient des États-Unis et, contrairement à ce que l’on pourrait penser, l’Europe est la deuxième place avec 17% des attaques au cours du trimestre passé, et dépassant l’Asie du Sud (6%).

 

Cependant, la provenance de l’attaque n’a pas d’importance puisque vous restez toujours ciblé par ce type d’attaque. Sachez que votre entreprise a besoin de se protéger contre les attaques XSS, surtout vous exposez des données confidentielles ou privées pour lesquelles les hackers voudront certainement mettre la main dessus.

Malheureusement, pour être honnête j’ai très peu de conseils à vous donner dans ce domaine et je ne pourrais vous décrire des règles simples, mais si un lecteur a des connaissances dans ce domaine, je vous invite de les partager en commentaires de cet article.


Source : Internet.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share



  • Posts

    • si seulement ils utilisent le gel d'isolation après l'installation des câbles dans la boîte, je pense que ca résoudrait tous problème de dégradation de qualité et instabilité des lignes due au changement climatique.
    • Bonsoir, quand on sait que le pétrole est une roche sédimentaire, il n'y a pas mieux que Sonatrach en effet ou une autre entreprise pétrolière, et je te conseille d'écrire correctement le nom de l'entreprise lorsque tu leur enverras la lettre. Par ailleurs, à part les hydrocarbures, je ne vois pas où la sédimentologie peut intervenir économiquement. C'est plus une sciences d'études et de recherches. à mon avis. Les erreurs à éviter sont les suivantes: Ne pas plagier Ne pas refaire ce qui a été fait Ne pas prendre un sujet banal Ce qu'il faut faire: Innover, trouver de nouvelles façons d'arriver au résultat souhaité trouver un sujet intéressant, original Utiliser les nouvelles technologies (les SIG c'est dépassé, la télédétection est plus recherchée) Je vais corriger le dernier point, je ne le supprime pas mais je précise. Dans ton cas la télédétection est inutile, car t'auras besoin de ce qui se trouve au sous sol, je te dirais bien d'utiliser un gravimètre ou un résistivimètre mais tu devras changer de spécialité et passer à la Géophysique  
    • Je n'aime pas parler de risques  car les risques cela se gère à chaque risque correspondent des contremesures. Je préfère parler des implications. Il y a des implications de sécurité, d'intégrité des processus et des données, des implications techniques, des implications commerciales et financières qu'il faut prendre en compte. SIM= Subscriber Identification Module La SIM physique contient et encrypte des données permettant à un abonné d'accéder au réseau de l'opérateur. Si les clés qui permettent l'identification de l'abonné et son enregistrement au réseau sont sur un support physique séparé et fourni par l'opérateur dans le cadre des lois du pays c'est une chose. Ce qu'essaye de faire Apple et d'autres c'est de remplacer le support physique 'discret' par un support intégré au terminal dans lequel ces données ayant trait à l'abonné et à l'opérateur vont être stockées et traitées, en symbiose avec leur cloud. Le rôle des autorités est de s'assurer de l'intégrité du processus d'abord. Il faut pouvoir contraindre la société qui va traiter ces données de le faire conformément à la loi, tout en s'assurant que seuls les personnes identifiées puissent accéder au réseau de télécommunications. C'est le rôle de l'état. Ensuite la dématérialisation implique des prérequis logiciels et matériels côté opérateur, il y a donc necessité d'acheter, installer des outils de provisionning nécessaires et former les gens pour les utiliser.  Si Ooredoo se prépare plus vite que Mobilis c'est parceque ils répliquent en Algérie ce qui a été réalisé à Qatar ou ailleurs. De plus le cout par abonné pour eux sera inférieur car il est mutualisé sur plusieurs pays, alors que pour un opérateur national comme Mobilis, cela se traduira un peu plus dans ses marges par abonné. D'ailleurs les télécoms nationales américaines aussi ont trainé la patte longtemps aux USA avant d'adopter l'esim car cela a un coût, et les premieres à se lancer la bas étaient les telcos présentes dans plusieurs pays. Enfin il faut prendre en compte la motivation et les objectifs de cette fonctionalité eSim/iSim : en réalité ce que veut Apple (ou Samsung, etc) c'est prendre le contrôle de la relation avec le client et concentrer au maximum les DONNEES de l'utilisateur,  pour servir d'intermédiaire à terme, entre le client et les opérateurs, voire devenir un opérateur virtuel -MVNO- d'un nouveau type. Donc il existe des implications commerciales et financières qui sont loin d'être triviales. Dans les pays comme les USA, la dynamique entre les opérateurs et les fabricants comme Apple et Samsung est très différente de chez nous. Chez nous chacun achète son mobile, soit neuf en le payant au prix fort, soit d'occasion. La bas en gros la plupart des gens font une location de iPhone, etc, qu'ils payent à l'opérateur, qui reverse l'argent à Apple ou Samsung, et les gens renouvellent leur abonnement pour avoir un nouveau terminal à 1500 dollars qu'ils payent par mois. Les enjeux et les rapports de force ne sont pas les mêmes. Les fabricants de terminaux partagent leurs marges avec les opérateurs et réciproquement. Pas en Algérie, ni dans beaucoup d'autre pays. Personellement, je ne vois pas trop l'intérêt pour l'opérateur algérien ou autre de transférer totalement les données d'identification sur une eSim voire sur un SoC dont l'architecture est contrôlée par Cupertino (Apple) ou San Diego (Qualcomm/Samsung). Pour les fabricants et les états dans lesquels ils opèrent c'est autre chose ils ont un intérêt à le faire, qui ne coincide pas nécéssairement avec celui des opérateurs ou de pays tiers qui doivent protéger les données de leurs citoyens. Quant au citoyen/consommateur lambda il peut avoir un intérêt à avoir une montre connectée en 5G, ou autre, sans pour autant que ses données d'identification et celles de son opérateur soit confiées à des entreprises étrangères qui n'ont aucune existence légale chez lui. En revanche un terminal mobile équipé d'un SoC qui dématérialise la sim, cela présente quelle utilité pour l'utilisateur par rapport à une sim classique? Apple ou Samsung parlent de miniaturisation mais bon, une nano sim, cela change pas grand chose à la taille d'un téléphone, donc c'est un peu léger, ils veulent surtout contrôler les données et la relation avec le client, c'est de bonne guerre... Peut être que quelqu'un sur le forum peut nous expliquer les avantages fonctionnels pour l'utlisateur, pour ce qui me concerne, je ne les connais pas. Ce qui ne veut pas dire que cela ne se fera pas, à terme, les opérateurs seront peut être contraint de le faire, par souci de compatibilité avec les terminaux qui existent sur le marché. Mais pas nécessairement parceque c'est leur intérêt ou celui du citoyen/client/consommateur.
    • Non ça c'est pas du SPAM ça s'appelle de la "Smata"
×
×
  • Create New...