Le jeune chercheur en sécurité algérien connu sous le pseudo Fawzii ColdFire à découvert une faille de sécurité sur le site officiel de La Banque Postale. Pour preuve, une capture d’écran montrant du code JavaScript indésirable interprété au sein d’un espace sécurisé via SSL.
MAJ du 19/11/2012 : La Banque Postale vient de nous informer que la faille de sécurité a été corrigé. Merci à Fawzii pour son alerte !
ColdFire vient de lancer une alerte via son compte Twitter. en effet, il a découvert une faille de type Cross Site Scripting (XSS) qui pourrait compromettre la sécurité des clients de La Banque Postale et qui peut s’avérer dangereuse sur un site de ce type. Une personne malintentionnée pourrait très bien l’exploiter afin de rediriger silencieusement un utilisateur vers un faux site, une vulgaire copie, afin de lui dérober des informations personnelles et bancaires (phishing, ndlr).
UnderNews relais l’alerte et informe ses contacts afin que cette dernière soit corrigée au plus vite. En attendant, voici le PoC diffusé par le chercheur en sécurité (les détails sont floutés pour des raisons évidentes de sécurité afin que la faille ne soit pas divulguée tant qu’un correctif n’ai pas été appliqué) :
C’est désespérant de voire commentla sécuité et totalement négliger dans beaucoup d’entreprise
Les commentaires sont fermés.