Notre Blog

Les failles XSS, le poil à gratter du Net

on juillet 11, 2018

Bonjour, je ne vais pas vous détailler ici ce qu’est une faille ou injection XSS, Mickael Dorigny la très bien décrit sur son article disponible ici :

https://www.information-security.fr/determiner-evaluer-criticite-dune-faille-xss/

Je vais vous parler de l’impact de ces injections, souvent snobées.

C’est pas grave mais personne n’aime ça:

Souvent les failles XSS ont une note faible ou moyenne au niveau des CVE (Common Vulnerabilities and Exposures). Et malheureusement peu corrigées voir ignorées par les responsables web ou les sociétés elles mêmes. Alors faut il les corriger ?

Faille XSS l’arbre qui cache la forêt 

Suite à l’article de Mickael Dorigny vous avez compris qu’il y a deux types d’injection XSS, les non réfléchies ou non permanentes qui implique de cliquer sur un lien pour faire interpréter le code par son navigateur et les XSS stockées directement sur le serveur internet . En règle générale on s’attarde à corriger rapidement les XSS stockées car l’impact est très important pour l’image de l’entreprise.

Du coup on en fait quoi des autres, les non permanentes ? Souvent pas grand chose on les laisse pour les apprentis hackers et leur nouvel outil trouvé suite à une vidéo parue sur youtube. Vous trouvez pas ça dérangeant de savoir que l’on peut faire afficher des images, des textes que vous maitrisez par sur votre site internet ? Voir pire, rediriger vos clients vers des sites malicieux !

Les white hat en action :

Dans ce monde y a quand même des gentils hackers qui prennent soin de vos sites internet. A temps perdu ils se baladent sur la toile et remontent via des sites spécialisés leurs découvertes. Je vous invite à regarder le site www.openbounty.org et de taper l’adresse internet de votre site web adoré.

Alors il est répertorié ? oui ? non ? vous avez peur de le dire ?

Openbugbounty le site à double tranchant

Vous avez trouvé votre site internet sur le site, vous vous dites chouette ils sont sympa je vais pouvoir corriger cette faille rapidement. Et puis vous regarder un peu plus et la vous voyez que la faille est la depuis plusieurs semaines voir plusieurs mois. Que pensez vous de cette exposition, cette publicité gratuite de votre site Internet .

Pendant toute cette période est ce que d’autres hackers mal intentionnés ne seraient pas venu voir votre site internet ? Une faille xss est remontée mais est ce que c’est la seule, est ce qu’il y aurait pas des failles XSS stockées ? ou d’autres types de failles beaucoup plus impactants ?

Sur le site on peut voir aussi les failles corrigées le plus rapidement, ce qui laisse penser que dans l’organisation de l’entreprise il y a des personnes qui font le job pour remédier ces failles. Rassurant pour les clients, non ?

A l’inverse on peut voir que des sites à forte influence ou “top player” dans leur métier sont la depuis plusieurs mois sans aucune correction. Mettez vous dans la peau d’un hacker, vous allez choisir quel site pour aller tester le dernier programme à la mode ? Afin de voir si y aurait pas des choses à se mettre sous la dent et de les revendre par exemple sur le “black market”.

Les grands perdants sont:

  • Les agences web ou agences de communications qui livrent des sites internet. En général elles sont fier de nous montrer leur réalisations qui sont plus ou moins toutes basées sur la même plateforme avec les mêmes développeurs qui les ont mis en place. Que pensez vous si une bonne partie de ces références se retrouvent sur un site comme Openbugbounty ? Est ce une bonne ou mauvaise pub pour l’agence ?
  • Les entreprises qui ne prennent pas conscience de ces injections XSS. Comme je le disais précédemment, en général les sites affichés deviennent des pots de miel malgré eux avec des utilisateurs non habituel (hackers). Du coup d’autres failles potentielles peuvent être révélées et depuis le 25 mai avec le RGPD les conséquences peuvent être importante pour les entreprises.

Un autre indicateur va rentrer dans le bal dans quelques temps; encore peu utilisé en Europe les agences de notations de sites Internet vont commencées à auditer les sites internet et leur donner une note en fonction de leur sécurité. Vous avez compris qu’avec des sites comme Openbugbounty il va être facile de donner des notes.

Imaginez un top 10 des agences web les mieux notées dans votre ville, il y aura des gagnants et des perdants …

Tout compte fait l’impact peut devenir désastreux

Pourtant au départ on était parti d’une simple faille XSS non permanente.

Vous comprendrez que l’image de votre entreprise peut être vite entachée même si au départ la menace était faible. Ne négligez aucune faille, faites les corriger au plus vite . Votre e-réputation ne se construit pas qu’avec votre référencement ou vos avis clients ou votre savoir faire.

La sécurité de votre site est l’un des piliers pour durer sur Internet.

 

Cédric Lamouche.

adminLes failles XSS, le poil à gratter du Net

Related Posts

Take a look at these posts