[MEHDI9Z]

MEHDI9Z
Projets


 

Inscrit le: 27 Sep 2009 Messages: 3

Salut tout le monde alors hier en me baladant ,Sur Internet J'ai appercu une faille xss sur le site officiel de Bercy Je me permet de vous la faire découvrir xDeii . Pour Vous dire Que même les sites les plus populaires sont vulnérables a se genre de faille

hxxp://img9.imageshack.us/img9/8411/sanstitrezk.png

[TorTukiTu]

TorTukiTu
Modérateur


 

Inscrit le: 07 Fév 2008 Messages: 914 Localisation: Devant son pc durant la redaction de ce message

Méfie toi, tester la vulnérabilité de sites dont tu es détenteur est un délit. Même si tu as les meilleurs intentions.

C'est peu fréquent, mais on a déjà vu des condamnations de "bénévoles" ayant informés les détenteurs d'un site de ses vulnérabilités car l'ayant testé sans accort préalable de l'administrateur.

Sinon, bien joué. Il ne te reste plus qu'à informer le webmaster du problème.

La tortue.

[GHOSTX_0]

GHOSTX_0
Projets


 

Inscrit le: 24 Aoû 2009 Messages: 186

Ouais sympas!!
J'ai moi même teste, par contre si tu préviens l'admin fait le de façon anonyme!
Comme l'a dit TorTukiTu, ça serait bête que tu es des ennuis pour ça.

Cordialement

Ghostx_0

[MEHDI9Z]

MEHDI9Z
Projets


 

Inscrit le: 27 Sep 2009 Messages: 3

D'accord les gar merci du conseil

[THE-DEATH]

THE-DEATH
Projets


 

Inscrit le: 23 Juil 2008 Messages: 810 Localisation: 127.0.0.1

Le truc c'est que c'est pas nouveau, l'année passsé un amis a reussi a avoir un acces root a tous les serveurs des universités de france, et combien de xss j'ai pu trouver sur des sites de l'armée ou du gouvernement...Seulement les informer serait se mettre dans une situation imprévisible.

[BOOSHEN]

BOOSHEN
Projets


 

Inscrit le: 19 Juin 2010 Messages: 2

Salut ! tlm après avoir lu se message j'ai voullu trouver la faille XSS donc je suis partie chercher vite fait ^^.

Après 2 minutes de recherche je venai de trouver la faille il suffiser d'injecter du code
(x)HTML ou du Java dans la zone de recherche ^^.


Par exemple : <script>alert("bonjour")</script>.

PS: Je ne saie pas comment contacter le Webmaster .

[nqqb]

nqqb
Projets


 

Inscrit le: 13 Juin 2008 Messages: 189

En envoyant un message à zataz il pourront faire l'intermédiaire non ? ils ont l'habitude

[TorTukiTu]

TorTukiTu
Modérateur


 

Inscrit le: 07 Fév 2008 Messages: 914 Localisation: Devant son pc durant la redaction de ce message

1- C'est pas du java, c'est du js
2- Tu ne peux exploiter ce type de failles ( a ma conaissance ) que si le script injecte est interprete par les navigateurs d'autres clients.
Je n'ai pas regarde, mais typiquement le resultat d'une recherche n'est visible que par l'utilisateur qui l'a formulee. Donc a priori, pas de soucis.

La tortue.

[ROOTBSD]

ROOTBSD
Modérateur


 

Inscrit le: 22 Déc 2008 Messages: 171

	TorTukiTu a écrit:
	1- C'est pas du java, c'est du js 2- Tu ne peux exploiter ce type de failles ( a ma conaissance ) que si le script injecte est interprete par les navigateurs d'autres clients. Je n'ai pas regarde, mais typiquement le resultat d'une recherche n'est visible que par l'utilisateur qui l'a formulee. Donc a priori, pas de soucis. La tortue.

Pour ce cas de figure tu as raison. Par contre il existe de xss persistente (genre forum, livre d'or, commentaire, twitter la semaine derniere :p)
Et la le risque est bcp plus elevé...

Apres pour notre cas un tinyurl sur facebook, twitter ou autre et pas mal de gens vont cliquer dessus et executer la js...

Le risque est tout de meme existant.

[BOOSHEN]

BOOSHEN
Projets


 

Inscrit le: 19 Juin 2010 Messages: 2

Oui,

je mis connais pas tellement en hack je viens de débuter donc j'apprend des petits truc genre faille XSS et include() .