Un Bac à Sable, ou "sandbox" en informatique fait référence à un lieu où l'on peut tester sans rien casser. Vous obtenez donc un aperçu du fonctionnement des attaques et failles informatiques les plus communes comme si elles étaient bien réelles.
Bien sûr seuls des morceaux précis de code sont simulés. Cette page a pour seul but de comprendre et de corriger les failles en question. Amusez-vous bien !

      Retour à la liste des mises en situation.


Imaginez que ce qui suit est un endroit pour envoyer un message via une page de contact.
Entrez d'abord un message normal comme

mon message

et cliquez sur le bouton "Envoyer" ou "Valider".
Maintenant remplacez ce message par

<script>alert("faille XSS");</script>

Une boite de dialogue (alert) s'affiche avec "faille XSS" à l'intérieur.
Cela signifie que le code a été intégré à celui de la page web et s'est donc exécuté directement, au lieu d'être affiché comme il le devrait.
C'est ce que l'on appelle une faille XSS "réfléchie" car elle s'applique à chaque soumission du formulaire, seulement pour la personne l'ayant soumis et seulement à cet instant.
Inversement, la faille XSS dite "stockée" s'appliquerait si la vulnérabilité serait stockée dans une base de données (comme dans un pseudonyme). Dans ce cas chaque affichage normal du pseudonyme donnerait lieu à une exécution de la vulnérabilité. Cela se verrait donc potentiellement dans le navigateur de n'importe quel internaute qui visiterait la page.
La faille XSS peut être exploitable de différentes façons et non pas que dans des formulaires. Par exemple dans des images, feuilles de style, etc.
Voici une liste de possibilités d'exploiter la faille XSS : https://github.com/payloadbox/xss-payload-list