Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)
[accueil] [menu] [suivez-nous !] [chercher]
COMMUNIQUE PLANETAIRE URGENT : faille de CSS sur le site de Hackerz Voice !!!
«
Les cordonniers sont souvent les plus mal chaussés », dit le dicton. Le 25 septembre,
Hackerz Voice (DMPFrance.com) inonde nos boîtes : les sites de 12 banques françaises souffrent d'une faille de Cross Site Scripting. Désopilant : un de nos lecteurs vient de découvrir une faille identique sur le site de... Dmpfrance.com ! «
Une faille élémentaire facilement exploitable sans connaissance informatique complexe ni matériel sophistiqué », selon le
mailing de
Hackerz Voice. Le trou se situe dans les pages Photos du site, où on contemple les clichés de leurs locaux gribouillés. L'adresse dmpfrance.com/visio.php?pic=img_hacker_01.jpg renvoie en arrière plan sur [.image src='imghacka/img_hacker_01.jpg' alt=' border=0.]. Maligne, l'équipe a prévu un filtre pour vérifier que le contenu de la variable pic se termine bien par Jpg. A défaut ? « mauvaise requête ». Quelle blindage... risible de la part d'une société qui prétend donner des leçons de sécurisation par les «
meilleurs spécialistes du monde » ! En effet, on contournera la protection aisément en entrant, par exemple : dmpfrance.com/visio.php?pic='][/tr][/td][h1]N'y aurait-il pas un trou de CSS ?[/h1][!--.jpg. (ce qui donne ceci : www.acbm.com/inedits/images/dmptrou.jpg). De là, on peut injecter des lignes pour récupérer
login et
password des utilisateurs, par exemple. Certes, en section Photos, cela ferait tâche. Mais bon, puisque
Hackerz Voice alerte la terre entière en disant que c'est si grave une faille de CSS sur un site...
[MAJ] Suite à notre alerte, cette faille est désormais corrigée.
Vous voulez soutenir une information indépendante ? Rejoignez notre
Club privé !
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]