5/5 - (1 vote)

Des scripts trompent les navigateurs pour récupérer des données.

Des chercheurs de l’université de Princeton se sont penchés sur des scripts capables d’extraire des identifiants depuis les formulaires d’authentification à travers les gestionnaires de mots de passe intégrés aux navigateurs.

L’une des entreprises concernées, Adthink, nous a répondu à ce sujet. Gunes Acar, Steven Englehardt et Arvind Narayanan font partie du Center for Information Technology Policy de l’université de Princeton. Ils connaissent bien les attaques de type XSS (cross-site scripting), qui existent depuis plus d’une décennie. (Sources)


Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies.

A propos de l'auteur

Retour en haut