Une vulnérabilité de type XSS a été détectée dans le réseau social Orkut : elle permettait d'injecter du code HTML dans un profil d'utilisateur. Les visiteurs suivants se faisaient alors voler leurs cookies, et leur compte.
L'injection XSS se fait simplement en affichant dans le corps du message une donnée provenant de l'utilisateur : http://www.orkut.com/Friends.aspx?show=group1);alert(document.cookie Une fois l'injection identifiée, il suffisait de l'agrandir pour polluer tout le réseau.
Adblock, sur FireFox, peut servir de protection ici : il faut bloquer tous les scripts qui portent le nom de virus.js. Cela ne sert pas de manière universelle, mais c'est toujours étonnant de voir qu'un tel nom est utilisé sans alerter personne...
- Orkut Group Cross Site Scripting Vulnerability
- Orkut XSS
- THE ORKUT XSS WORM
- Orkut
L'injection XSS se fait simplement en affichant dans le corps du message une donnée provenant de l'utilisateur : http://www.orkut.com/Friends.aspx?show=group1);alert(document.cookie Une fois l'injection identifiée, il suffisait de l'agrandir pour polluer tout le réseau.
Adblock, sur FireFox, peut servir de protection ici : il faut bloquer tous les scripts qui portent le nom de virus.js. Cela ne sert pas de manière universelle, mais c'est toujours étonnant de voir qu'un tel nom est utilisé sans alerter personne...
- Orkut Group Cross Site Scripting Vulnerability
- Orkut XSS
- THE ORKUT XSS WORM
- Orkut
-
Auteur
-
Origine