1. Web
  2. Sécurité Web
  3. Attaques

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Attaques

En sécurité web, une attaque est une méthode spécifique qu'un·e attaquant·e utilise pour atteindre son objectif. Par exemple, si son objectif est de voler les données d'un·e utilisateur·ice, une attaque par cross-site scripting (XSS) est une méthode possible. Une attaque donnée peut être contrée par une ou plusieurs mesures d'atténuation : par exemple, un XSS peut être contré par un assainissement correct des données et la mise en œuvre d'une politique de sécurité du contenu.

Cette page renvoie vers des pages qui expliquent le fonctionnement de certaines attaques courantes et la manière de les atténuer.

Détournement de clic (clickjacking)

Dans une attaque de clickjacking, un·e attaquant·e crée un site leurre qui intègre le site cible à l'intérieur d'un élément <iframe>. Iel cache l'iframe et superpose des éléments leurres au-dessus. Lorsque l'utilisateur·ice interagit avec ces éléments leurres, iel interagit en réalité avec le site cible et peut être trompé·e pour effectuer des actions non intentionnelles.

Contrefaçon de requête intersite (CSRF)

Dans une attaque par contrefaçon de requête intersite (CSRF), un·e attaquant·e amène l'utilisateur·ice ou le navigateur à émettre une requête HTTP vers le site cible depuis un site malveillant. La requête inclut les informations d'identification de l'utilisateur·ice et entraîne l'exécution d'une action nuisible par le serveur, en pensant que l'utilisateur·ice l'avait voulue.

Fuites intersites (XS-Leaks)

Les fuites intersites (XS-Leaks) constituent une classe d'attaques dans laquelle le site d'un·e attaquant·e peut déduire des informations sur le site cible, ou sur la relation de l'utilisateur·ice avec le site cible, en utilisant des API de la plateforme web qui permettent aux sites d'interagir entre eux.

Script intersite (XSS)

Dans une attaque par script intersite (XSS), un site accepte une entrée conçue par l'attaquant·e et l'inclut par erreur dans ses propres pages d'une manière qui amène le navigateur à l'exécuter comme du code. Le code malveillant peut alors faire tout ce que le code frontal du site pourrait faire.

Attaque de l'intercepteur (MITM)

Dans une attaque de l'intercepteur (MITM, Man-in-the-Middle en anglais), l'attaquant·e s'insère entre le navigateur de l'utilisateur·ice et le serveur, et peut voir et potentiellement modifier tout le trafic échangé via HTTP.

Prise de contrôle de sous-domaine

Dans une attaque par prise de contrôle de sous-domaine, l'attaquant·e prend le contrôle d'un sous-domaine d'un domaine cible.

Help improve MDN

Learn how to contribute

This page was last modified on by MDN contributors.

View this page on GitHubReport a problem with this content