XSS (Cross-Site Scripting)
Définition
Vulnérabilité web permettant à un attaquant d'injecter du code JavaScript malveillant dans des pages vues par d'autres utilisateurs. Trois variantes existent : reflected (non persistant), stored (persistant) et DOM-based.
Pourquoi c'est important
Le XSS est la vulnérabilité web la plus répandue. La comprendre est essentiel pour tout développeur ou auditeur web, et elle permet d'enseigner les concepts d'assainissement d'entrées et de CSP.
Comment l'enseigner
Faites écrire aux étudiants un simple formulaire web vulnérable, puis demandez-leur de l'attaquer eux-mêmes avant de le corriger. Vivre l'attaque côté développeur ET attaquant crée un apprentissage durable.
Idée d'exercice
Sur Juice Shop, exploiter 3 types de XSS différents, puis implémenter les protections correspondantes (encodage HTML, CSP, HttpOnly cookies) dans un mini-projet.
Erreur courante en formation
Réduire le XSS à une simple alerte JavaScript (alert(1)) : montrez les vrais impacts : vol de session, keylogging, redirection vers un site de phishing.
Questions fréquentes
Qu'est-ce que le XSS (Cross-Site Scripting) en cybersécurité ?
Vulnérabilité web permettant à un attaquant d'injecter du code JavaScript malveillant dans des pages vues par d'autres utilisateurs. Trois variantes existent : reflected (non persistant), stored (persistant) et DOM-based.
Comment enseigner le XSS (Cross-Site Scripting) à des étudiants ?
Faites écrire aux étudiants un simple formulaire web vulnérable, puis demandez-leur de l'attaquer eux-mêmes avant de le corriger. Vivre l'attaque côté développeur ET attaquant crée un apprentissage durable. Sur Juice Shop, exploiter 3 types de XSS différents, puis implémenter les protections correspondantes (encodage HTML, CSP, HttpOnly cookies) dans un mini-projet.
Pourquoi XSS (Cross-Site Scripting) est-il important en formation cybersécurité ?
Le XSS est la vulnérabilité web la plus répandue. La comprendre est essentiel pour tout développeur ou auditeur web, et elle permet d'enseigner les concepts d'assainissement d'entrées et de CSP.