Une faille XSS exploitée gentiment

Le 12 avril 2011 dans Sécurité informatique

Les failles de types XSS ou Cross-site scripting font partie des failles les plus courantes sur Internet. Mais savez-vous exactement en quoi elles consistent ?

Prenons un site web qui permet à ses visiteurs de saisir du texte dans un champ de texte. N'importe quoi : un commentaire sur un blog, un pseudo/mot de passe sur un site de commerce, un champ de recherche...

Tout va bien lorsque l'utilisateur est gentil et fait ce qu'on lui demande : il tape son identifiant si on le lui demande, il tape un chiffre si on lui demande un prix etc... Mais admettons que l'utilisateur soit méchant, et tape du code JavaScript néfaste ? Par exemple, du code JavaScript qui redirige l'utilisateur vers une page web similaire à celui du site e-commerce sur lequel il surfe ? Et qu'il impose cette redirection à tous les visiteurs qui viendront après lui ? C'est alors le début d'une attaque de phishing. Basique, certes, mais le problème est bien là.

C'est ce qu'il s'est passé récemment sur le site de La Poste : une zone de texte n'était pas protégée, et un utilisateur en a profité. En bien, heureusement, car il a simplement programmé une pop-up qui dit "Coucou" :

L'histoire se termine bien, puisque le webmaster du site a très vite réagi et écouté les conseils de l'équipe de Zataz pour remédier au problème.

Source : Zataz