XSS pour le site de la CNAM Options

[ZATAZ]

INFO ZATAZ - Un Cross Site Scripting découvert sur le site Internet du Conservatoire national des arts et métiers. A quelques semaines de la rentrée, il est bon d'attirer l'attention de certains étudiants, attirés justement par le prestigieux Conservatoire national des arts et métiers (CNAM).

Jordan Droussent et Benjamin Benoist ont alerté ZATAZ.COM d'une faille de type XSS (Cross Site Scripting) à partir d'un script diffusé par le site officiel de la CNAM. Une vulnérabilité qui pourrait permettre à un internaute malveillant le lancement d'un JavaScript pirate.

Il deviendrait possible, par exemples, d'utiliser des technologies WEB telle que AJAX mélangé à du JSP pour une utilisation frauduleuse. Redirection vers une fausse page, lancement d'un téléchargement malicieux... Le site a été alerté via le protocole d'alerte de ZATAZ, mais vue la période scolaire, il est préférable d'avertir, aussi, les potentiels lecteurs intéressés par ce site. ZATAZ.COM vous déconseille fortement de cliquer sur le moindre lien extérieur pouvant vous diriger sur le site cnam.fr. En attendant la correction de cette possibilité malveillante, préférez taper l'url directement dans votre navigateur.

Une "petite" faille à prendre au sérieux. Le site Internet officiel de la Présidence Française, le portail de l’Élysée, a connu l'utilisation de ce type de vulnérabilité, fin juillet. Un petit malin a exploité une faille, pourtant connue, référencée, mais pas corrigée, pour afficher un message contre le Président de la République Française, Nicolas Sarkozy.







Lire l'article complet