XSS non permanente
Non permanente, ça veut dire quoi exactement ? Tout simplement que le script que l'on envoi se fait du côté client, ne s'inscrit donc pas dans la bdd.
Exemple :
Si l'on tape ( dans le formulaire ) :
Vous verrez un petit popup qui s'affichera avec le " Fr3nch ". Et vous seul pourrez le voir. Il ne s'inscrira pas dans la bdd.
Hé une minute tu veux ? Si on a le popup qui s'affiche, c'est que la faille est présente ?
Exactement, c'est du code javascript que l'on a injecté. Mais attention, ne criez pas trop vite victoire, il y a d'autres choses à apprendre.
Allez petit exemple , nous nous rendons sur un site qui nécessite une inscription.
Vous mettez dans la case email un format non reconnu et il vous ressort une erreur de ce type :
http://www.lesite.com/index.php?page=inscription&error=Votre+email+est+incorrect
Regardons si les variables sont filtrées.
Remplaçons donc par
http://www.lesite.com/index.php?page=inscription&error=<script>alert('Fr3nch')</script>
Et si le site affiche <script>alert('Fr3nch')</script> c'est sécurisé. Or, si vous avez le popup ( l'alerte, je tiens à tout préciser ), la faille est donc bien présente.