Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 8 au 10 juin 2011.

XSSF : démontrer le danger des XSSLudovic Courgnaud


Date : 08 June 2011 à 12:30 — 30 min.

Les attaques de type XSS (Cross-Site Scripting) demeurent encore parmi les plus rencontrées sur les applications web. Une question est alors soulevée : cette faille, souvent négligée et incomprise permet-elle vraiment de réaliser des attaques dangereuses ?

C'est ce que veut montrer cette communication au travers d'un nouveau Framework d'attaque : XSSF. L'outil, directement intégré au Framework Metasploit, permet l'exploitation de victimes à large échelle.

La sensibilisation par la démonstration : toute la devise de XSSF, qui prouvera qu'une attaque par un Cross-Site Scripting ne s'arrête pas forcément à un vol de cookie de session...