Keynote SSTIC 2009 – XSS : de la brise à l’ouragan

Présentation : Pierre GARDENAT

Le XSS augmente depuis 2004 en criticité et occurrence (OWASP), indicateur intéressant de l’évolution de ces attaques.

Un XSS permet, via l’API DOM, de réécrire totalement une page web. Les grands sites internet ne sont pas épargnés, et même une cible privilégiée.

Il existe plusieurs méthodes pour contourner la limitation au des requetes au domaine courant (proxy web, mod-rewrite, script signé), et permettre de faire des requêtes cross domain.
Un attaquant peut pratiquement prendre le contrôle d’une machine atteinte par XSS, grâce aux possibilités (même limitées) du javascript.

Il devient assez simple de placer un XSS en sommeil, installé dans un navigateur, en mode XSSBotNet, attendant par exemple un zero day dans le navigateur pour prendre le contrôle total de la machine.

L’internet est devenu une machine commerciale impressionnante, ou les pressions sur les délais de développement permettent à ce genre de failles de se développer rapidement.
Le manque de recul sur des technologies récentes et l’extension des fonctionnalités est difficile à maitriser dans les applications web, et c’est la tout le problème.