Je pense que vous connaissez tous les failles XSS (cross-site scripting )

Il y a en ce moment et cela depuis 2005 des vers qui exploite vos navigateurs web via faille XSS

Principalement les vers JavaS
les vers Javascript qui se sont développés depuis 2005 et qui ont attaqué quelques grands sites comme MySpace, Yahoo ou encore Google.

Le JavaS est un langage de balisage Web comme le php ou le html elle permet également d'apporter des améliorations au niveaux des pages web (fenêtre popup, firefox qui bouge dans tout les sens, et j'en passe )
Le Mieux ou le pire c'est que les codes Javascript sont lisibles par tous les internautes. En effet, aucune confidentialité du code n'est possible et toutes les portions de code sont accessibles.

Bref voila pour la petite partit javaS

PS : Qu'est-ce que le XSS ?

Le XSS est la contraction de Cross Site Scripting. Ce terme désigne une insertion imprévue de code Javascript au sein d'une page renvoyée par le serveur web et exécutée du coté client par les navigateurs web.

Le Cross Site Scripting est donc une attaque menée dans le but d'exécuter un code Javascript directement sur le poste de la victime. Cette technique a été particulièrement utilisée par les pirates pour voler la session d'un utilisateur connecté.
Une fois le serveur web vulnérable identifié, le script est inséré au sein de l'URL et est envoyé la victime. Si cette dernière est connectée sur le site web vulnérable, elle enverra immédiatement, et à son insu, son cookie de session au pirate. L'attaquant pourra ensuite rejouer ce cookie et voler la session de la victime pour mener des actions frauduleuses.
---> Wiki <---

==========================================================

Les vers informatiques qui exploite les failles XSS, doivent impérativement s'accrocher a un Web Site
Comme le celebre vers Samy qui a attaquer MySpace
A l'aide d'un code Javascript particulièrement travaillé, le ver envoyait silencieusement des requêtes POST et GET via Ajax pour contaminer chacun des utilisateurs et des contacts visitant le profil " Samy ". La méthode utilisée était particulièrement astucieuse puisque l'auteur a réussi à générer des requêtes http via Ajax ainsi qu'un clic de validation sans la moindre intervention de l'utilisateur.

La création d'un tel ver n'est pas évidente car les plus grands sites prennent généralement des précautions afin d'éviter l'exécution de code Javascript. L'auteur de ce ver a donc du trouver des moyens pour contourner les contrôles de MySpace.

Comme cela, Samy a infecter plus de 100.000 personne

Pour plus d'info : http://en.wikipedia.org/wiki/Samy_%28XSS%29

Et surtout les détailles du premier vers XSS : Samy Worm XSS

Cordialement,

                     @[N4rKo]$: