Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

[accueil]  [menu]  [marions-nous !]  [chercher]


2002-09-28 07:42

COMMUNIQUE PLANETAIRE URGENT : faille de CSS sur le site de Hackerz Voice !!!


« Les cordonniers sont souvent les plus mal chaussés », dit le dicton. Le 25 septembre, Hackerz Voice (DMPFrance.com) inonde nos boîtes : les sites de 12 banques françaises souffrent d'une faille de Cross Site Scripting. Désopilant : un de nos lecteurs vient de découvrir une faille identique sur le site de... Dmpfrance.com ! « Une faille élémentaire facilement exploitable sans connaissance informatique complexe ni matériel sophistiqué », selon le mailing de Hackerz Voice. Le trou se situe dans les pages Photos du site, où on contemple les clichés de leurs locaux gribouillés. L'adresse dmpfrance.com/visio.php?pic=img_hacker_01.jpg renvoie en arrière plan sur [.image src='imghacka/img_hacker_01.jpg' alt=' border=0.]. Maligne, l'équipe a prévu un filtre pour vérifier que le contenu de la variable pic se termine bien par Jpg. A défaut ? « mauvaise requête ». Quelle blindage... risible de la part d'une société qui prétend donner des leçons de sécurisation par les « meilleurs spécialistes du monde » ! En effet, on contournera la protection aisément en entrant, par exemple : dmpfrance.com/visio.php?pic='][/tr][/td][h1]N'y aurait-il pas un trou de CSS ?[/h1][!--.jpg. (ce qui donne ceci : www.acbm.com/inedits/images/dmptrou.jpg). De là, on peut injecter des lignes pour récupérer login et password des utilisateurs, par exemple. Certes, en section Photos, cela ferait tâche. Mais bon, puisque Hackerz Voice alerte la terre entière en disant que c'est si grave une faille de CSS sur un site...
[MAJ] Suite à notre alerte, cette faille est désormais corrigée.



Vous aimez cette page ? Partagez-en le lien !

Facebook
Twitter
Google+
LinkedIn
Reddit

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]