Recent

  • Show all results for ""
Sécurité web : Cross-Site Scripting (XSS)

Sécurité web : Cross-Site Scripting (XSS)

Created by
@TrendyOrangeTree
Study Flashcards Play Quiz
Study Flashcards Play Quiz

Questions and Answers

Quel est le type deCross-Site Scripting (XSS) qui est stocké sur le serveur et exécuté lorsqu'un utilisateur visite la page?

Stored XSS

Quel est le moyen le plus efficace pour prévenir une injection de code SQL?

Utiliser des requêtes préparées et des paramètres

Quelle est la meilleure pratique pour stocker des mots de passe?

Stocker les mots de passe hachés et salés

Quel est le type d'authentification qui vérifie l'identité d'un utilisateur à travers quelque chose qu'il possède?

<p>Authentification par possession</p> Signup and view all the answers

Quel est le moyen le plus efficace pour éviter les attaques de type Cross-Site Scripting (XSS)?

<p>Valider et nettoyer les entrées utilisateur</p> Signup and view all the answers

Quel est le type d'injection SQL qui infère la structure de la base de données et les données à travers des erreurs ou des temps de réponse?

<p>Blind SQL Injection</p> Signup and view all the answers

Quel est le mécanisme de sécurité qui empêche les attaques de type Cross-Site Scripting (XSS) en définissant les sources de contenu autorisées?

<p>Content Security Policy (CSP)</p> Signup and view all the answers

Quel est le type d'authentification qui vérifie l'identité d'un utilisateur à travers quelque chose qu'il est?

<p>Authentification par inhérence</p> Signup and view all the answers

Quel est le moyen le plus efficace pour prévenir les attaques de type SQL Injection?

<p>Utiliser des requêtes préparées et des paramètres</p> Signup and view all the answers

Quel est le type deCross-Site Scripting (XSS) qui est exécuté sur le côté client, modifiant le modèle d'objet du document (DOM)?

<p>DOM-based XSS</p> Signup and view all the answers

Study Notes

Web Security

Cross-Site Scripting (XSS)

  • Definition: Injection of malicious scripts into websites, allowing attackers to steal user data or take control of user interactions
  • Types:
    • Stored XSS: Malicious script is stored on the server and executed when a user visits the page
    • Reflected XSS: Malicious script is reflected back to the user in the form of a response to a request
    • DOM-based XSS: Malicious script is executed on the client-side, altering the Document Object Model (DOM)
  • Attack Vectors:
    • User input (e.g., forms, comments)
    • Malicious ads or widgets
    • Infected software or plugins
  • Prevention:
    • Input validation and sanitization
    • Output encoding
    • Content Security Policy (CSP)
    • HttpOnly cookies

SQL Injection

  • Definition: Injection of malicious SQL code into web applications, allowing attackers to access or modify sensitive data
  • Types:
    • Classic SQL Injection: Injecting malicious SQL code as user input
    • Blind SQL Injection: Inferring database structure and data through error messages or response times
    • Time-based SQL Injection: Inferring database structure and data through delay-based responses
  • Attack Vectors:
    • User input (e.g., login forms, search queries)
    • Malicious URLs or HTTP requests
  • Prevention:
    • Prepared statements and parameterized queries
    • Input validation and sanitization
    • Limiting database privileges
    • Regular security updates and patching

Authentication

  • Definition: Verifying the identity of users and ensuring only authorized access to resources
  • Types:
    • Authentication by Knowledge: Verifying user identity through something they know (e.g., passwords, answers to security questions)
    • Authentication by Possession: Verifying user identity through something they possess (e.g., tokens, smart cards)
    • Authentication by Inherence: Verifying user identity through something they are (e.g., biometric data)
  • Best Practices:
    • Password hashing and salting
    • Secure password storage
    • Two-factor authentication (2FA)
    • Regular password rotation and account lockout policies
    • Secure authentication protocols (e.g., OAuth, OpenID Connect)

Sécurité Web

Injection de Script entre Sites (XSS)

  • Définition : Injection de scripts malveillants dans les sites web, permettant aux attaquants de voler des données utilisateur ou de prendre le contrôle des interactions utilisateur
  • Types :
    • XSS Stocké : Le script malveillant est stocké sur le serveur et exécuté lorsque l'utilisateur visite la page
    • XSS Réfléchi : Le script malveillant est renvoyé à l'utilisateur sous forme de réponse à une requête
    • XSS basé sur le DOM : Le script malveillant est exécuté côté client, modifiant le Modèle d'Objet du Document (DOM)
  • Vecteurs d'attaque :
    • Entrée utilisateur (par exemple, formulaires, commentaires)
    • Annonces publicitaires ou widgets malveillants
    • Logiciels ou plugins infectés
  • Prévention :
    • Validation et nettoyage des entrées
    • Encodage de sortie
    • Politique de Sécurité de Contenu (CSP)
    • Cookies HttpOnly

Injection de Code SQL (SQLI)

  • Définition : Injection de code SQL malveillant dans les applications web, permettant aux attaquants d'accéder ou de modifier des données sensibles
  • Types :
    • Injection SQL Classique : Injection de code SQL malveillant comme entrée utilisateur
    • Injection SQL Aveugle : Inférence de la structure de la base de données et des données à travers des messages d'erreur ou des temps de réponse
    • Injection SQL basée sur le Temps : Inférence de la structure de la base de données et des données à travers des réponses retardées
  • Vecteurs d'attaque :
    • Entrée utilisateur (par exemple, formulaires de connexion, requêtes de recherche)
    • URLs ou requêtes HTTP malveillantes
  • Prévention :
    • Déclarations préparées et requêtes paramétrées
    • Validation et nettoyage des entrées
    • Limitation des privilèges de la base de données
    • Mises à jour de sécurité régulières et correctifs

Authentification

  • Définition : Vérification de l'identité des utilisateurs et assurant l'accès autorisé aux ressources
  • Types :
    • Authentification par Connaissance : Vérification de l'identité de l'utilisateur par quelque chose qu'il sait (par exemple, mots de passe, réponses à des questions de sécurité)
    • Authentification par Possession : Vérification de l'identité de l'utilisateur par quelque chose qu'il possède (par exemple, jetons, cartes à puce)
    • Authentification par Inhérence : Vérification de l'identité de l'utilisateur par quelque chose qu'il est (par exemple, données biométriques)
  • Bonnes Pratiques :
    • Hachage et salage de mots de passe
    • Stockage sécurisé des mots de passe
    • Authentification à deux facteurs (2FA)
    • Rotation régulière des mots de passe et politiques de verrouillage de compte
    • Protocoles d'authentification sécurisés (par exemple, OAuth, OpenID Connect)

Studying That Suits You

Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

Get started for free
Quiz Team

More Quizzes Like This

Understanding Cross-Site Scripting (XSS) Attacks Quiz
10 questions

Understanding Cross-Site Scripting (XSS) Attacks Quiz

EminentOcean9804 avatar
EminentOcean9804
Web Application Security Best Practices
30 questions

Secure Programming Practices Quiz: Web Application Security Best Pract...

BriskMountRushmore avatar
BriskMountRushmore
La Sécurité des Sites Web: Injection JavaScript
5 questions

La Sécurité des Sites Web: Injection JavaScript

TrendyOrangeTree avatar
TrendyOrangeTree
Quiz sur les attaques CSRF
10 questions

Quiz sur les attaques CSRF

TrendyOrangeTree avatar
TrendyOrangeTree
Use Quizgecko on...
Browser
Open
Browser
Browser