Our Favorite XSS Filters and How to Attack Them

• Faille à venir HTML5 :
• </a onmousemove='alert(1)'>
• Pollution des paramètres (?param=value1&param=value2)
• Unicode (dans Java, fork depuis 3.0)
• Problème niveau serveur (ex: PHP) et niveau client (ex: Firefox)
• <img src="x:gif" onerror="window['al\u0065rt']('unicode xss')">

• Règles prédéfinies de mod_sec insuffisantes, doit être maintenu régulièrement

• PHP-IDS plus exhaustif MAIS a ses inconvénients (faux positif, utilisation CPU)

• IE8 inclut des filtres mais qui peuvent être défaits (utilisation de {} pour passer des commandes JS)

• FF + NoScript : globalement fiable même si nuit la fluidité d'utilisation