Google publie un jeu pour sensibiliser les développeurs aux failles XSS

Les failles XSS, ce n’est probablement pas un terme que tout le monde a l’habitude d’entendre. Et pourtant, ces failles peuvent se révéler très dangereuses, permettant à un pur inconnu de faire exécuter des scripts à n’importe qui visitant un site touché. Pas cool, d’autant plus que lesdits scripts peuvent se permettre de faire pas mal de choses pas forcément toujours gentilles comme le vol de données personnelles.

Se prémunir des failles XSS n’est pourtant pas si difficile que ça, puisqu’il suffit de protéger les endroits vulnérables d’un site en contrôlant ce qui y est affiché si cela vient d’un utilisateur quelconque. “Ne jamais faire confiance à l’utilisateur“, tel est l’adage bien connu de bon nombre de développeurs, et Google souhaiterait que cela devienne une généralité dans le monde du web, le géant de la recherche ayant publié un jeu pour sensibiliser les développeurs aux dangers des failles XSS.

Un jeu sur les failles XSS, avec un gâteau à la clé
Un jeu sur les failles XSS, avec un gâteau à la clé

Disponible à cette adresse, le jeu est découpé en six niveaux de difficulté croissante. Le but ici n’est pas de protéger une page web mais bel et bien de l’attaquer : c’est à vous de jouer le rôle de celui qui exploite la faille.

Tout au long des niveaux, l’objectif sera ainsi toujours le même : faire afficher une simple boîte de dialogue montrant la vulnérabilité qui pourra donc venir de six endroits différents.

Pour cela, vous aurez accès aux différents codes sources HTML et JavaScript utilisées par la page. Vous êtes donc en situation réelle puisque n’importe qui peut avoir accès à ces choses-là.

Pour ceux qui connaissent un peu le milieu, le jeu n’est pas très compliqué et compléter les six niveaux ne sera qu’une formalité. Pour les autres, il peut être utile de s’y pencher pour découvrir des faiblesses pas forcément attendues.

Via

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.