Failles pour le sites de la FNAC, La Halle et Le Bon Coin

Un exemple de XSS

Une potentialité malveillante pourrait permettre à un pirate de maltraiter les visiteurs clients des site de la FNAC, Le Bon Coin et de La Halle.

La faille est très connue, elle est même notifiée comme étant la 3ème plaie des applications web selon la fondation OWASP. Cette vulnérabilité, la XSS. Elle permet d’afficher un message, comme l’exemple ci-dessous. Les attaques peuvent être beaucoup plus malveillantes comme lancer une attaque à partir du navigateur du visiteur, sans même que ce dernier ne puisse s’en rendre compte. Afficher aussi un page phishing ou encore injecter un outil malveillant dans l’ordinateur du client.

Les trois entreprises ont été notifiées via le protocole d’alerte de zataz. En attendant une correction qui ne devrait pas tarder, nous vous invitons à ne cliquer sur aucuns liens pouvant vous être communiqués par courriel, Twitter, Facebook. Préférez taper les adresses dans votre navigateur préféré. Des failles découvertes par le team Jock0School qui a souhaité passer par le protocole d’alerter pour aider à la correction. A noter que Le Bon Coin aura répondu au quart de tour à notre alerte. 10 minutes après notre message, un responsable nous répondait.