Exclusivité UnderNews – Un petit malin a découvert une faille de type XSS sur le site JeuxVidéo.com et en a profité pour semer la pagaille sur le forum. Beaucoup de cookies de session ont été volés via un script piégé hébergé sur un compte Free.
Plutôt amusante à la base, la chose a néanmoins secoué pas mal de membres du forum de JeuxVidéo.com. Même si la plupart des jeunes gens ne comprennent pas ce qui c’est passé, ceci est un parfait exemple d’une exploitation réussie d’une vulnérabilité Cross Site Scripting, pourtant souvent considérée comme banale et peu dangereuse.
Résultat des courses, plusieurs membres ont perdu l’accès à leur compte et ont vu des messages postés avec leur pseudo sur les forums. La faille se situait dans les CDV des profils, messagerie interne. Elle est actuellement corrigée.
Il semblerait qu l’exploit JavaScript distant soit toujours accessible sur le FTP du compte Free, un certain “lilii.js” se trouvant à cette adresse. Du côté de JV.com, pas d’alerte officielle pour le moment, juste un topic dédié ici.
j’ai eu un peu le code et apparemment le script ne vole pas les cookies mais envoi le code vérolé toutes les secondes a une personne differentes, qui va à sont tour charger le script et lenvoyer, etc…
sa se propage comme sa.
Sa ne marche que si vous êtes loggué
Les commentaires sont fermés.