Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis d’identifier un scénario selon lequel un attaquant pourrait voler le cookie de session d’un utilisateur. Pour cela l’attaquant devra inciter un utilisateur authentifié à cliquer sur un lien hypertexte ce qui entrainera la création et l’exécution d’un code javascript malicieux au sein du navigateur (côté client). Dans quelle catégorie se classe la vulnérabilité de votre application ?
[A] Détournement de session (Session hijacking)
[B] XSS type 0 (DOM-based XSS)
[C] XSS type 1 (Reflected XSS)
[D] XSS type 2 (Stored XSS)
Lorsqu’une application est vulnérable à une attaque de type DOM-based XSS, un script malveillant peut être exécuté au sein du navigateur par la modification de l’environnement DOM du navigateur de la victime. Autrement dit, la page elle-même (c’est-à-dire la réponse http délivrée par l’application) ne change pas mais c’est le code côté client contenu dans la page qui s’exécutera différemment en raison des modifications malveillantes réalisées dans l’environnement DOM.
C’est une différence fondamentale avec les 2 autres types d’attaques XSS (stockées ou réfléchies), dans lesquelles le script malveillant est placé dans une page de réponse de l’application en raison d’une vulnérabilité d’une application qui s’exécute côté serveur.
Dans notre scénario, le détournement de session (session hijacking) n’est pas une vulnérabilité de l’application mais le résultat d’une attaque rendue possible par l’exploitation de la vulnérabilité DOM-based XSS. Et bien entendu, cette vulnérabilité XSS pourra permettre de réaliser d’autres attaques que le vol d’un cookie de session.
La bonne réponse est la proposition [B] XSS Type 0 (vulnérabilité également appelée DOM-based XSS)
Pour en savoir plus sur les codes malveillants et les attaques applicatives nous vous recommandons de suivre le module n°21 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE