XSS non permanente



Non permanente, ça veut dire quoi exactement ? Tout simplement que le script que l'on envoi se fait du côté client, ne s'inscrit donc pas dans la bdd.

Exemple :

Si l'on tape ( dans le formulaire ) :

<script>alert('Fr3nch')</script>



Vous verrez un petit popup qui s'affichera avec le " Fr3nch ". Et vous seul pourrez le voir. Il ne s'inscrira pas dans la bdd.

Hé une minute tu veux ? Si on a le popup qui s'affiche, c'est que la faille est présente ?

Exactement, c'est du code javascript que l'on a injecté. Mais attention, ne criez pas trop vite victoire, il y a d'autres choses à apprendre.

Allez petit exemple , nous nous rendons sur un site qui nécessite une inscription.
Vous mettez dans la case email un format non reconnu et il vous ressort une erreur de ce type :

http://www.lesite.com/index.php?page=inscription&error=Votre+email+est+incorrect

Regardons si les variables sont filtrées.

Remplaçons donc par

http://www.lesite.com/index.php?page=inscription&error=<script>alert('Fr3nch')</script>

Et si le site affiche <script>alert('Fr3nch')</script> c'est sécurisé. Or, si vous avez le popup ( l'alerte, je tiens à tout préciser ), la faille est donc bien présente.