0899379170 code service 92829 *

Failles pour le sites de la FNAC, La Halle et Le Bon Coin

La Halle xss

Un exemple de XSS

Une potentialité malveillante pourrait permettre à un pirate de maltraiter les visiteurs clients des site de la FNAC, Le Bon Coin et de La Halle.

La faille est très connue, elle est même notifiée comme étant la 3ème plaie des applications web selon la fondation OWASP. Cette vulnérabilité, la XSS. Elle permet d’afficher un message, comme l’exemple ci-dessous. Les attaques peuvent être beaucoup plus malveillantes comme lancer une attaque à partir du navigateur du visiteur, sans même que ce dernier ne puisse s’en rendre compte. Afficher aussi un page phishing ou encore injecter un outil malveillant dans l’ordinateur du client.

Les trois entreprises ont été notifiées via le protocole d’alerte de zataz. En attendant une correction qui ne devrait pas tarder, nous vous invitons à ne cliquer sur aucuns liens pouvant vous être communiqués par courriel, Twitter, Facebook. Préférez taper les adresses dans votre navigateur préféré. Des failles découvertes par le team Jock0School qui a souhaité passer par le protocole d’alerter pour aider à la correction. A noter que Le Bon Coin aura répondu au quart de tour à notre alerte. 10 minutes après notre message, un responsable nous répondait.

 

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ - Journaliste - Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel "Amstar & CPC". Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l'Echo des Savanes, Le Canard Enchaîné, France 3, ...). Auteurs et coauteurs de 6 livres dont "Pirates & hackers sur Internet" (Ed. Desmart) ; "Hacker, le 5ème pouvoir" (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) de l'Université de Valenciennes ; pour l'Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.

Articles connexes

Laisser un commentaire

*