Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
NOUVELLES DE ZONE-H
L'Elysée, le Premier-Ministre, Bayrou.. Tous vulnérables à des failles de cross-site scripting
 
Zone-H Staff
27/04/2007
  
Après le premier tour des élections présidentielles, il ne reste plus qu'un point commun entre l'Elysée, le Premier-Ministre et François Bayrou: chacun de leurs sites possède au moins une faille de type script inter-sites (cross-site scripting).

Ces vulnérabilités peuvent être exploitées à l'encontre des utilisateurs des sites web affectés, soit pour leur voler des informations (cookies de connexion, informations de compte...), soit leur faire effectuer des actions spécifiques (par exemple un transfert d'argent sur le site d'une banque) ou soit pour lancer des attaques de phishing en insérant un code fictif dans l'une des pages du site. A noter que l'utilisation des failles de type cross-site scripting est de plus en plus fréquente dans les attaques des phishers, car même l'utilisateur le plus avancé peut tomber dans le piège, il est donc dans le devoir de chaque webmaster et administrateur de s'assurer qu'aucune de ces attaques ne peut être lancée à l'encontre de leurs visiteurs.

En 2005, un internaute connu sous le pseudonyme de "Samy" avait "programmé" un ver visant le site web MySpace qui se répandait automatiquement sur chaque profil grace aux clics des visiteurs, via une faille de type cross-site scripting combinée à une faille de type CSRF (Cross-Site Request Forgery). En 2006, une faille d'insertion de scripts dans les profils du réseau Orkut de Google avait entraîné le vol de milliers de comptes et communautés. Début 2007, une nouvelle attaque de phishing utilisait une faille de type cross-site scripting permanent sur eBay afin de rediriger les utilisateurs sur un autre site. Et bien d'autres exemples..

XSSed.com, un nouveau site partenaire de Zone-H tente de lister les mauvais élèves de ces types de problèmes. Voici une courte liste des sites web francophones listés sur le site:
fr.search.yahoo.com
www.elysée.fr
www.premier-ministre.gouv.fr
mediasig.premier-ministre.gouv.fr
www.bayrou.fr
seloger.money.msn.fr
notrefamille.femmes.fr.msn.com
monavenir.hsbc.fr
www.banquepopulaire.fr
www.sicavetfcp.lcl.fr
www.credit-agricole-sa.fr
www.lefigaro.fr
www.lemonde.fr
www.frontnational.com
www.zdnet.fr
support.kaspersky.fr
www.mcdonalds.fr
www.canalplus.fr
contrecourant.france2.fr
etoilecasting.tf1.fr
www.menara.ma
www.education.fr
fr.trendmicro-europe.com
www.fff.fr
douane.gouv.fr
www.insee.fr
www.internet.gouv.fr
www.telecom.gouv.fr
www.legifrance.gouv.fr
www.carrefour.com
r.neuf.fr
www.fin.gc.ca
www.parl.gc.ca
www.pm.gc.ca

Et biens d'autres.. Nous encourageons tout le monde à trouver ce type de problème et contacter les sites web.


Commentaires:


Le 27/04/2007 à 10:43 jean todd a écrit:
Bonne initiative, ça démontre toute la sécurité des "grands sites"..

nom ou pseudo:
Ville/Pays: (Facultatif)
Email: (Facultatif)
message:
Recopier le code:

Envoyer




  En parler sur le forum...
  S'inscrire à la liste de diffusion...

Creative Commons License
Le contenu de ce site est sous Contrat Public Creative Commons.