00:00 - Intro 00:31 - C'est quoi le web ? Comment ça fonctionne ? 02:25 - Définition générale du Cross-Site Scripting 05:21 - Le principe d'injection 06:04 - Définition XSS stockée (stored XSS) 07:15 - Lab' XSS stockée (stored XSS) 08:52 - Définition XSS refletée (reflected XSS) 10:02 - Lab' XSS refletée (reflectedXSS) 11:28 - Définition DOM based XSS 13:07 - Lab' DOM based XSS 14:56 - Impacts des XSS 16:56 - Remédiations pour contrer les XSS 20:35 - Pour aller plus loin + outro
Merci Franso, un peu compliqué pour commencer pour le boomer que je suis 🙂Tu as contribué à nous éclairer pour Wot donc je suis persuadé que tu vas nous rendre "ce monde" plus compréhensible
Merci Franso pour ces explications, je t'avoue que au début c'était compliqué de te suivre avec tout ce vocabulaire, mais finalement tu as bien réussi à nous le faire comprendre avec les tests. Si je pourrais te donner un conseil pour tes prochaines vidéos comme celle ci, c'est de parler un petit peu moins vite et de plus expliquer chaque terme assez spécifique que tu emplois pour une meilleure compréhension. Sinon content de te voir faire des vidéos sur un domaine comme la cybersécurité et plus globalement l'informatique !!
Merci pour la vidéo ! Pour la XSS stockée ça veut dire que n'importe quelle personne qui se rendra sur la page du commentaire ou l'attaquant a posté un commentaire avec une XSS stockée pour récupérer des cookies par exemple se fera voler ses cookies ? La personne random sur le forum n'a pas besoin de cliquer sur un lien pour se faire voler ses cookies de session ? Merci ;)
Nope, l'injection XSS permettrait à un attaquant de manipuler le contenu HTML de la page Web pour y inclure du code malveillant, mais d'avoir la main sur le serveur. Pour obtenir un accès shell, l'attaquant devrait exploiter une vulnérabilité du serveur lui-même, comme une faille dans le code PHP. Le problème de PHP c'est qu'il s'exécute coté serveur et pas coté client
Assez surpris du fait que des balises soient susnommées "parents" ou "enfants", je pense qu'on ferait mieux de leur demander leur avis sur le sujet c'est a dire qu'on pourrait par exemple les nommés "balise issue de l'union de balise x et balise y" je trouve que ça refleterait mieux l'identité de la balise. Ce sont des entités a proprement dit et on ferait mieux de le respecter. Sinon super vidéo, surtout le moment a 00:01 quand tu dis Bonjour 👍
Si ca t'aide pour la suite tant mieux : quand tu fais ton montage essaie d'agrandir ce que tu montres, tout le monde n'est pas sur PC et encore je penses que même sur PC c'est pas bien visible
00:00 - Intro
00:31 - C'est quoi le web ? Comment ça fonctionne ?
02:25 - Définition générale du Cross-Site Scripting
05:21 - Le principe d'injection
06:04 - Définition XSS stockée (stored XSS)
07:15 - Lab' XSS stockée (stored XSS)
08:52 - Définition XSS refletée (reflected XSS)
10:02 - Lab' XSS refletée (reflectedXSS)
11:28 - Définition DOM based XSS
13:07 - Lab' DOM based XSS
14:56 - Impacts des XSS
16:56 - Remédiations pour contrer les XSS
20:35 - Pour aller plus loin + outro
Merci Franso, un peu compliqué pour commencer pour le boomer que je suis 🙂Tu as contribué à nous éclairer pour Wot donc je suis persuadé que tu vas nous rendre "ce monde" plus compréhensible
Je vais faire mon possible !
C'est cool tes vulgarisations, t'es vraiment très fort, faut que tu lâche rien là ! Continue 😊
Je decouvre ta chaine grace à l'algo, bonne explication, continue!
Merci ! :D
+1 abonnement o/
Let's gooooo
Super vidéo ! Merci et continue :)
Superbe vidéo, en attente de nouvelles vidéos🤖 pour apprendre encore plus sur la Sec
Merci !
Merci pour ca. Vidéo pointu mais abordable pour un débutant. Je reviendrais !
De rien monsieur Pierre
Merci Franso pour ces explications, je t'avoue que au début c'était compliqué de te suivre avec tout ce vocabulaire, mais finalement tu as bien réussi à nous le faire comprendre avec les tests. Si je pourrais te donner un conseil pour tes prochaines vidéos comme celle ci, c'est de parler un petit peu moins vite et de plus expliquer chaque terme assez spécifique que tu emplois pour une meilleure compréhension. Sinon content de te voir faire des vidéos sur un domaine comme la cybersécurité et plus globalement l'informatique !!
Je prends en compte les remarques ! Merci !
Super intéressant !
Merci !
Vidéo super intéressante continue comme ça !
Superbe vidéo !!!👏👏
Super idée de te lancer sur UA-cam dans ton domaine pro.
Enfiiin 🙌🏽🙌🏽
Le boss
Merci pour la vidéo ! Pour la XSS stockée ça veut dire que n'importe quelle personne qui se rendra sur la page du commentaire ou l'attaquant a posté un commentaire avec une XSS stockée pour récupérer des cookies par exemple se fera voler ses cookies ? La personne random sur le forum n'a pas besoin de cliquer sur un lien pour se faire voler ses cookies de session ?
Merci ;)
Exactement, chaque personne se rendant sur le page avec le commentaire contenant le XSS se fera voler les cookies (Si les cookies sont pas sécurisés)
@@Fransosiche super merci !
concernant le DOM, on aurait pu voir que la valeur est reflété depuis burp ou il faut obligatoirement passé par la console du browser ?
Normalement, via burp ça passe, il faut juste request la réponse dans le browser par la suite pour avoir l'exécution de script
17:50 je suis justement la pour ca
Hello, y a t'il un moyen d'envoyer un MP ? Bien à toi.
Jeff.
Yep sur twitter
@@Fransosiche mmmm bon va falloir me créer un compte.
on ne peut pas par exemple, mettre une xss en php qui executera un reverse shell sur le serveur victime et donc avoir accès a toutes les données?
Nope, l'injection XSS permettrait à un attaquant de manipuler le contenu HTML de la page Web pour y inclure du code malveillant, mais d'avoir la main sur le serveur. Pour obtenir un accès shell, l'attaquant devrait exploiter une vulnérabilité du serveur lui-même, comme une faille dans le code PHP.
Le problème de PHP c'est qu'il s'exécute coté serveur et pas coté client
@@Franso_WOT ok merci
Assez surpris du fait que des balises soient susnommées "parents" ou "enfants", je pense qu'on ferait mieux de leur demander leur avis sur le sujet c'est a dire qu'on pourrait par exemple les nommés "balise issue de l'union de balise x et balise y" je trouve que ça refleterait mieux l'identité de la balise. Ce sont des entités a proprement dit et on ferait mieux de le respecter. Sinon super vidéo, surtout le moment a 00:01 quand tu dis Bonjour 👍
Mdr bien vu, my bad sur le coup (de rien pour le bonjour)
😆
T'as craqué toi
Si ca t'aide pour la suite tant mieux : quand tu fais ton montage essaie d'agrandir ce que tu montres, tout le monde n'est pas sur PC et encore je penses que même sur PC c'est pas bien visible
Très cool (bon j'ai pas tout compris)
C’est hyper quali