Les failles XSS sont l'une des vulnérabilités les plus courantes rencontrées sur le web, classée par l’OWASP dans le top 10 des vulnérabilités. Elles permettent à des attaquants d'injecter du code malveillant (généralement du code JavaScript) dans les pages web consultées par des utilisateurs. Lorsque ces derniers consultent les pages infectées, le code malveillant s'exécute, donnant ainsi à l'attaquant un accès non autorisé aux informations sensibles ou aux sessions des utilisateurs.
Les principales causes sont :
- La non-validation des données d'entrée dans les formulaires ;
- L'utilisation de paramètres d'URL non échappés dans les liens et les requêtes ;
- L'affichage direct de données d'entrée non échappées dans les pages web.
Les failles XSS peuvent avoir des conséquences graves pour les utilisateurs et les propriétaires du site web :
- Vol de données sensibles ;
- Prise de contrôle de compte ;
- Attaques sur d'autres utilisateurs ;
- Altération du contenu du site ;
- Réputation endommagée.
Connaître et adopter des pratiques de développement sécurisées et sensibiliser les développeurs aux risques associés, permettent de réduire considérablement le risque d'exploitation des failles XSS.