Exclusif : le site de Meteo Consult vulnérable aux failles XSS

0
94

Le portail météorologique de la société Meteo Consult (Groupe Figaro) permet à des personnes malveillantes de lancer des attaques de type Cross-Site Scripting (XSS) via son moteur de recherche géographique.

En effet, il a été démontré (voir la capture d’écran ci-dessous) que le code JavaScript injecté dans le champ de recherche du site était exécuté. Le script mis en cause est synthese_meteo.php et la variable non filtrée serait recherche.

Voici l’URL que l’on peut voir lors de l’exécution d’une recherche :

synthese_meteo.php?recherche=XXXX

Notons que bien souvent les gens ne portent pas une attention suffisante sur ce type de faille jugée dans la majorité des cas “bénignes”. Or, il est maintenant possible d’utiliser des techniques avancées afin d’exploiter les failles XSS dans toute leur ampleur. Il y a bien sûr le vol de cookie et de session mais aussi des possibilité de contrôle du navigateur (pour ceux que ça intéresse, vous pouvez aller faire un tour sur le site présentant le projet BeEF).

La société a été contactée et le service Informatique et Développement déclare avoir “identifié et corrigé la faille avec notre aide”.

Un mail de remerciement nous est parvenu en retour de cette alerte. Cela fait donc plaisir !