Documentation<Précédent | Table des matières | Suivant>
11.4.3. Vulnérabilités Web
Étant donné que les sites Web modernes ne sont plus des pages statiques, mais générés dynamiquement pour l'utilisateur, le site Web moyen est assez complexe. Les vulnérabilités Web tirent parti de cette complexité dans le but d'attaquer soit la logique de génération de la page principale, soit la présentation au visiteur du site.
Ces types d'attaques sont extrêmement courants, car de nombreuses organisations ont atteint le point où elles ont très peu de services externes. Deux des types d'attaques d'applications Web les plus répandus31 sont l'injection SQL et les scripts intersites (XSS).
• Injection SQL : ces attaques tirent parti d'applications mal programmées qui ne nettoient pas correctement les entrées des utilisateurs, ce qui permet d'extraire des informations de la base de données ou même de prendre le contrôle complet du serveur.
• Scripts intersites : comme pour l'injection SQL, les attaques XSS résultent d'une désinfection incorrecte des entrées de l'utilisateur, permettant aux attaquants de manipuler l'utilisateur ou le site pour exécuter du code dans le contexte de leur propre session de navigateur.
Les applications Web complexes, riches et compliquées sont très courantes et présentent une surface d'attaque bienvenue pour les parties malveillantes. Vous trouverez un grand nombre d'outils utiles dans le Analyse des applications Web catégorie de menu et le kali-linux-web métapaquet.