L'une des classes de vulnérabilité les plus courantes dans les sites Web est appelée « Cross-Site Scripting » ou « XSS ». Les vulnérabilités XSS sont là où il est possible pour un utilisateur de provoquer l'exécution de JavaScript. Il existe un certain nombre de variantes différentes de la vulnérabilité XSS, avec des degrés de gravité variables.
Le problème avec un attaquant pouvant exécuter JavaScript dans les sessions d'autres utilisateurs est qu'il est alors possible pour l'attaquant de faire n'importe quoi sur le site Web que les victimes voient. Cela inclut la redirection des victimes vers des sites Web externes, le vol de jetons d'authentification et la surveillance des détails de paiement.
La forme la plus grave de vulnérabilité XSS est le Cross-Site Scripting « Stored » ou « Persistent ». Avec un exploit XSS enregistré dans la base de données, il est alors possible qu'il affecte d'autres utilisateurs sur une longue période.
Une autre forme de Cross-Site Scripting est "Reflected", ce type n'est enregistré à aucun moment, à la place, la charge utile est incluse dans le navigateur. En règle générale, ce type de XSS fait partie des attaques de phishing, où un attaquant tente de tromper une victime pour qu'elle clique sur un lien malveillant.
En règle générale, la plupart des attaques XSS envoient la charge utile au serveur à un moment donné, mais certaines attaques sont purement côté client, n'étant jamais envoyées au serveur et affectant uniquement JavaScript côté client. C'est ce qu'on appelle le XSS basé sur DOM car il reste dans le modèle d'objet de document JavaScript, ou DOM. Ce type de vulnérabilité est particulièrement difficile à identifier et à résoudre car les exploits ne sont jamais vus par le serveur et ne peuvent donc pas être enregistrés.
Historiquement, la technique de prévention contre les vulnérabilités XSS consiste à filtrer toutes les données soumises par les utilisateurs, en utilisant des listes de blocage pour rejeter tout message contenant des caractères ou des mots significatifs en JavaScript. Cela a eu tendance à conduire à une course aux armements pour trouver des contournements pour le filtre tout en empêchant également certaines soumissions d'utilisateurs légitimes. La bonne solution consiste à utiliser des entités HTML pour coder les données soumises par l'utilisateur. avec les modules d'entités HTML activés, les caractères sont automatiquement codés dans un format où le navigateur sait les afficher comme les symboles corrects mais pas les traiter comme du code.
Chrome, par défaut, ne vous montre pas l'URL complète. Vous ne vous souciez peut-être pas trop de ce détail, mais si, pour une raison quelconque, vous avez besoin d'afficher l'URL complète, des instructions détaillées sur la façon de faire en sorte que Google Chrome affiche l'URL complète dans la barre d'adresse.
Reddit a encore modifié sa conception en janvier 2024. La refonte peut être vue par les utilisateurs de navigateurs de bureau et réduit le flux principal tout en fournissant des liens.
Taper votre citation préférée de votre livre sur Facebook prend du temps et est plein d'erreurs. Découvrez comment utiliser Google Lens pour copier du texte de livres sur vos appareils.
Parfois, lorsque vous travaillez sur Chrome, vous ne pouvez pas accéder à certains sites Web et obtenez une erreur « L'adresse DNS du serveur fixe est introuvable dans Chrome ». Voici comment résoudre le problème.
Les rappels ont toujours été le point fort de Google Home. Ils nous facilitent sûrement la vie. Faisons un tour rapide sur la façon de créer des rappels sur Google Home afin de ne jamais manquer de faire des courses importantes.
Nous avons tous des Snaps que nous souhaitons garder privés, qu'il s'agisse de photos personnelles ou simplement de quelque chose que vous ne voulez pas que quiconque utilise votre téléphone puisse voir. Vous pouvez déjà créer des histoires privées sur Snapchat, et désormais, pour ces Snaps privés supplémentaires, vous pouvez protéger votre confidentialité sur Snapchat avec la fonctionnalité My Eyes Only Snapchat.
Votre disque de stockage interne de 825 Go de votre PlayStation 5 semble beaucoup, mais les jeux vidéo modernes peuvent être volumineux. De nombreux titres exigent plus de 50 Go, certains dépassant même 100 Go.
Lorsque vous souhaitez envoyer le même e-mail à vos clients, employés, membres de club ou à un groupe similaire, vous pouvez saisir un e-mail une fois et envoyer un message à tout le monde à l'aide de l'outil de fusion et publipostage Gmail. Autrefois surnommée fonctionnalité « envoi multiple », le publipostage dans Gmail vous permet d'insérer des contacts Google ou une liste de diffusion à partir de Google Sheets.
Comment changer votre mot de passe sur le service de streaming vidéo Netflix à l'aide de votre navigateur préféré ou de votre application Android.
Parfois, les applications peuvent se charger lentement, planter ou occuper trop d'espace de stockage. Effacer les données mises en cache de votre téléphone peut aider à résoudre ces problèmes et à libérer de l'espace pour d'autres fichiers importants.
