Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Attaques

En sécurité web, une attaque est une méthode spécifique qu'un·e attaquant·e utilise pour atteindre son objectif. Par exemple, si son objectif est de voler les données d'un·e utilisateur·ice, une attaque par cross-site scripting (XSS) est une méthode possible. Une attaque donnée peut être contrée par une ou plusieurs mesures d'atténuation : par exemple, un XSS peut être contré par un assainissement correct des données et la mise en œuvre d'une politique de sécurité du contenu.

Cette page retourne vers des pages qui expliquent le fonctionnement de certaines attaques courantes et la manière de les atténuer.

Détournement de clic (clickjacking)

Dans une attaque de clickjacking, un·e attaquant·e crée un site leurre qui intègre le site cible à l'intérieur d'un élément <iframe>. Il cache un iframe et superpose des éléments leurres au-dessus. Lorsque l'utilisateur·ice interagit avec ces éléments leurres, il interagit en réalité avec le site cible et peut être trompé·e pour effectuer des actions non intentionnelles.

Contrefaçon de requête inter-site (CSRF)

Dans une attaque par contrefaçon de requête inter-site (CSRF), un·e attaquant·e amène l'utilisateur·ice ou le navigateur à émettre une requête HTTP vers le site cible depuis un site malveillant. La requête inclut les informations d'identification de l'utilisateur·ice et entraîne l'exécution d'une action nuisible par le serveur, en pensant que l'utilisateur·ice l'avait voulue.

Fuites inter-sites (XS-Leaks)

Les fuites inter-sites (XS-Leaks) constituent une classe d'attaques dans laquelle le site d'un·e attaquant·e peut déduire des informations sur le site cible, ou sur la relation de l'utilisateur·ice avec le site cible, en utilisant des API de la plateforme web qui permettent aux sites d'interagir entre eux.

Script inter-site (XSS)

Dans une attaque par script inter-site (XSS), un site accepte une entrée conçue par l'attaquant·e et l'inclut par erreur dans ses propres pages d'une manière qui amène le navigateur à l'exécuter comme du code. Le code malveillant peut alors faire tout ce que le code frontal du site peut faire.

Référence directe non sécurisée d'objet (IDOR)

Dans une attaque par référence directe non sécurisée d'objet (IDOR), l'attaquant·e profite d'un contrôle d'accès insuffisant et de l'exposition non sécurisée des identifiants d'objet, tels que les clés de base de données ou les chemins de fichiers.

Attaque de l'intercepteur (MITM)

Dans une attaque de l'intercepteur (MITM, Man-in-the-Middle en anglais), l'attaquant·e s'insère entre le navigateur de l'utilisateur·ice et le serveur, et peut voir et potentiellement modifier tout le trafic échangé avec HTTP.

Hameçonnage (Phishing)

L'hameçonnage (Phishing) est une attaque de l'ingénierie sociale dans laquelle l'attaquant·e vole les identifiants d'un·e utilisateur·ice en le·la trompant pour lui faire croire qu'il·elle se connecte au site cible, alors qu'en réalité il·elle interagit avec un site factice contrôlé par l'attaquant·e.

Pollution de prototype (Prototype pollution)

La pollution de prototype en JavaScript est une vulnérabilité où un·e attaquant·e peut ajouter ou modifier des propriétés sur le prototype d'un objet. Cela signifie que des valeurs malveillantes peuvent apparaître de manière inattendue sur les objets de votre application, conduisant souvent à des erreurs logiques ou à des attaques supplémentaires comme le script inter-site (XSS).

Falsification de requêtes côté serveur (SSRF)

La falsification de requêtes côté serveur (SSRF) est une vulnérabilité qui permet à un·e attaquant·e d'émettre des requêtes HTTP (ou autres requêtes réseau) vers des destinations arbitraires. Les requêtes SSRF proviennent du serveur lui-même, qui dispose généralement d'un accès plus large que celui d'un client externe.

Prise de contrôle de sous-domaine

Dans une attaque par prise de contrôle de sous-domaine, l'attaquant·e prend le contrôle d'un sous-domaine d'un domaine cible.

Attaques de la chaîne d'approvisionnement

Dans une attaque de la chaîne d'approvisionnement, l'attaquant·e compromet une partie de la chaîne d'approvisionnement du site, comme les dépendances tierces qu'il utilise.