On va voir un troisième type de faille, très courante sur les sites web : les XSS « Cross-site scripting »
L'idée est la suivante :
Dans un formulaire prévu pour rentrer un message (par exemple, un forum), le pirate rentre du code HTML contenant du JavaScript .Plus tard, un autre utilisateur (ici "gerant") visite une page web ou est affiché ce message.Si le site cible est mal conçu (c'est fréquent), il affiche directement le HTML contenant le JavaScript.Donc, le navigateur de "gerant" vient d'exécuter du JavaScript fourni par le pirate.
On verra plus tard ce que le pirate peut faire avec ce JavaScript.
Voyons ca ensemble.