Faille pour un espace du site Dofus

Une vulnérabilité visant un espace du site Dofus.com pourrait être exploitée par un pirate. En attendant une correction rapide, zataz.com vous déconseille de cliquer sur le moindre lien vous proposant de visiter le portail de l’éditeur de jeux vidéo Ankama.

Jock0day, un lecteur de zataz, est passé par notre protocole d’alerte pour permettre à l’éditeur de jeux vidéo Ankama de corriger une faille visant l’un des espaces du portail dofus.com. La vulnérabilité, un XSS (Cross-site Scripting, NDR). Accès au cookie de connexion, possibilité d’affichage malveillant, diffusion de données pirates à l’insu du visiteur, sont quelques exemples possibles d’actions d’un XSS. L’OWASP, fondation dédiée à la sécurité informatique, a classé le XSS comme la 3ème vulnérabilité de sécurité applicative la plus présente sur la toile.

Pour rappel, une faille XSS a pour principe d’injecter des données arbitraires dans un site web : dans un message sauvegardé dans un forum, un post (XSS persistant) ou par le biais d’un lien particulièrement formulé, envoyé par courriel, laissé sur Twitter, Facebook, … La page web (piégée, NDR) transmise au navigateur va exécuter l’attaque et la plupart du temps un code malveillant en JavaScript.