juillet
2007
Un article de doctorrock
On a déja vu, grace à Samy notamment, les dommages que peut provoquer un code javascript malicieux sur un site.
Le danger du XSS est permanent dès lors que javascript est activé sur le poste du client.
Un nouveau ver vient de faire son apparition sur la toile, et sa caractéristique unique est qu’il est capable, avec un seul code source, d’infecter plusieurs webmails différents.
Pour moi ( mais ça ne tient qu’à moi hein ), ca me conforte dans l’idée de dire qu’absolument aucun site au monde n’est sûr à 100%.
Ainsi, comme dit l’auteur de ce ver « there is always a way » : comprenez que quelque soient les protections mises en place sur un site à forte exploitation javascript (web2.0, un webmail entre autre), il y a toujours moyen de le percer, ce n’est qu’une question de temps.
Le ver en question est multiwebmails : il est capable, avec un seul code source, d’infecter Libero.it – Tiscali.it – Lycos.it – Excite.com et je pense, d’autres encore.
Son auteur fournit un POC, mais pas le code source complet, car l’exploitation d’un tel ver serait bien trop dangereuse.
Son principe est simple : analyse le domaine sous lequel tu tournes, utilise javascript et XHR afin de récupérer la liste des contacts et de t’autoenvoyer à tous ceux-ci. Evidemment, il prend soin de récupérer aussi tous les « tokens » nécessaires à la validation du requetage HTTP des différents domaines.
Par la même occasion, il parse tous les mails, et récupère des mots de passe, des infos sensibles ou personnelles …
Tout se passe ici pour de plus amples explications
Ceci rappelle un peu des virus du type « I love you« , qui se propageaient à l’époque vie les messageries POP, en particulier outlook.
De nos jours, la menace provient bien du web lui-même.
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007