Plusieurs failles découvertes sur le site Pur.fr, le portail web dédié à la communication d’HADOPI et à un usage responsable de la culture.
Paul Da Silva (Ex. du Parti Pirate Français) a mis à jour plusieurs étrangetés sur le site pro HADOPI, pur.fr.
D’abord quelques failles de type XSS, comprenez, Cross Site Scripting. Le genre de vulnérabilités qui pourraient permettre d’afficher de fausses informations, de provoquer le téléchargement d’un code malveillant, etc. Et tout cela à partir d’un lien piégé, mais officiel.
Pour se protéger, les administrateurs du site pur ont mis en place un outil qui blacklist les tentatives d’utilisation d’un XSS. Bilan, il suffit qu’un internaute malveillant diffuse sur un espace peuplé un url piégé pour voir les curieux cliqueurs se retrouver bannis de pur.fr. “Le trou est sur la page de recherche (oui oui il y en a une, elle est juste cachée) et vient du non-filtrage de la variable recherchée… Un grand classique !” explique Paul Da Silva. “En passant, le code source du site est juste affreux, l’optimisation inexistante et des brides de code PHP sont visibles en commentaire dans le code HTML…“.
L’agence web en charge du site a préféré fermer le moteur de recherche. Il faut dire aussi que les essais [capture écran de @_noKid] commençaient à grignoter de la bande passante ! Pur, un usage responsable de la culture… mais à premiére vue, par des bonnes pratiques du web !
