Reportage

 

Faille de sécurité pour CDiscount

Publié le 21-09-2006 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal


Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!

Note des lecteurs: 1.8/5

Nous recevons, souvent, à la rédaction, des courriels nous questionnant sur les dangers de la faille XSS (CSS) Cross Site Scripting. Voici un exemple très concret !

Une faille, chez CDiscount, permettait de dérober le cookie de connexion des clients ! Le "bug" a été découvert par un white hat marocain, Reda Cherqaoui, connu sous le pseudo de Daftrix. La faille exploite un XSS, un Cross Site Scripting, dans une partie de ce site de e-commerce français appartenant au groupe Casino.

Le danger, pour les quatre millions de clients utilisateurs de ce site, était qu'un pirate puisse intercepter le cookie de connexion et donc, se faire passer pour le véritable client.

Automatisation !
Comment un pirate, à distance, peut-il intercepter des données se trouvant dans la machine d'un autre internaute ? Simple, trop simple même. Nous ne donnerons pas la solution. ZATAZ.COM Journal n'a pas pour mission de fournir ce genre d'élément. Mais sachez qu'une page piégée en PHP, couplée à un code Java Script, et le tour est joué. Voir notre démonstration, en vidéo, qui prouve qu'un cookie, pouvant contenir les données de connexions d'un internaute, peut-être très rapidement volé. (Il est inutile de nous réclamer le code de cet exploit, NDR)





Conseil !
Nous ne pouvons que vous conseiller de refuser toutes connexions à un site web tiers (Adresse qui peut vous être proposée par MSN, ICQ, IRC, ..., NDR) lors de l'utilisation d'un site employant le cookies comme mode d'identification. Il est plus que conseillé de vider, après chaque visite, votre dossier cookies.

Pour revenir à CDiscount, les responsables du site ont été contactés par nos soins, via le biais de l'attaché de presse en charge de ce produit. L'alerte est donc parvenue, normalement, jusqu'aux oreilles des responsables techniques.

 

# Liens connexes

En savoir plus

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Faille sur l´Apple Store, un pirate vend la méthode

06-09-2010 à 01:21 - 0 commentaire(s)

Exclusif - Un pirate informatique propose une méthode pour pirater iTunes. Il vent l´accès avant de partir à la retraite.

A lire : ACTUSECU n°26

01-09-2010 à 16:37 - 0 commentaire(s)

0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.

Recherche de stages

01-09-2010 à 15:50 - 0 commentaire(s)

Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011

UbiSoft sauvé des pirates

01-09-2010 à 14:56 - 0 commentaire(s)

Exclusif - Portes ouvertes à pirate dans l´un des serveurs de l´éditeur de jeux vidéo UbiSoft.

Un serveur de l´ONU sauvé des pirates

01-09-2010 à 14:45 - 0 commentaire(s)

Exclusif - Le Food and Agriculture Organization of the United Nations était ouvert aux quatre vents sur Internet.

Le crack de la Ps3 en open source

01-09-2010 à 14:05 - 0 commentaire(s)

Sony fait interdire la commercialisation de la clé usb qui crack sa Playstation 3. Bilan, la méthode open source débarque sur la toile.

Top site, ce que l´HADOPI ne voit pas

01-09-2010 à 13:21 - 1 commentaire(s)

Exclu - Alors que l´Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet prépare ses courriers à l´encontre des copieurs sur le P2P, voici ce que l´HADOPI ne voit pas !

Arnaque à la loterie, des grandes marques Françaises impliquées

01-09-2010 à 12:27 - 0 commentaire(s)

Depuis quelques jours, Maître Sibailly vous annonce 250.000 euros de gain suite à un tirage au sort signé par de grandes marques Françaises.

Sur le même thème : Réseau - Sécurité

A lire : ACTUSECU n°26

0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.

Recherche de stages

Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011

UbiSoft sauvé des pirates

Exclusif - Portes ouvertes à pirate dans l´un des serveurs de l´éditeur de jeux vidéo UbiSoft.

Un serveur de l´ONU sauvé des pirates

Exclusif - Le Food and Agriculture Organization of the United Nations était ouvert aux quatre vents sur Internet.

Arnaque à la loterie, des grandes marques Françaises impliquées

Depuis quelques jours, Maître Sibailly vous annonce 250.000 euros de gain suite à un tirage au sort signé par de grandes marques Françaises.

Un crackeur de codes retrouvé mort dans un sac de sport

Un jeune britannique, membre des services secrets anglais, retrouvé mort dans un sac de sport. Il était un roi du crack de codes secrets.

Nouvel faille QuickTime

Exclusif - Nouvelle vulnérabilité pour le plug-in Quicktime d´Apple. Démonstration en vidéo.

RFU pour Joomla com_remository

Vulnérabilité du type Remote File Upload (RFU) pour le composant Joomla com_remository

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.
 






HackFest.ca



Derniers communiqués de presse

A lire : ACTUSECU n°26

0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.

Recherche de stages

Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011

Santé, Internet : la comédie de l´ACTA a assez duré

En plein mois d´août, les négociateurs de l´ACTA se réunissent à nouveau à Washington, pour un round de discussions sur cet accord international anti-contrefaçon.

Découverte de la la dernière version de Fedora

Linux Pratique Essentiel n´15 vous propose une alternative à votre système propriétaire.

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA