Vous connaissez surement Privnote.com, le site qui vous permet de créer des notes sécurisées qui seront auto-détruites après lecture. Un internaute vient de casser le mythe du site en montrant une sérieuse lacune de sécurité pour un tel service qui se veut ultra-sécuritaire…
C’est Lycroft de ToolzWare qui vient de donner l’alerte après avoir remarqué que le site interprétait tout script JavaScript présent dans les notes. Une sérieuse vulnérabilité donc, exploitable par des pirates voulant attaquer leur cible avec “style”.
En effet, aucun filtre n’est présent et on peut imaginer n’importe quoi ! Personne n’ira se méfier via un lien à priori totalement inoffensif en HTTPS sur un site reconnu pour sa sécurité ! Or sur le coup, l’utilisateur risque gros… Redirection malveillante, vol de cookie/session, prise de contrôle du navigateur, modification de la page de Privnote, etc.
Celui qui a découvert cette possibilité a tenté d’avertir Privnote sans succès. Il livre en exclusivité un simple PoC permettant d’afficher une simple alerte de type “Hello World” :
Vous l’aurez compris, cet article est une alerte de sécurité. Soyez très vigilent si vous utilisez le service Privnote tant que cette possibilité d’exploitation malveillante n’est pas corrigé (liens dans les mails, ou sur les messageries instantanées par exemple). Espérons que l’équipe du site sera réactive car pour le moment il semble que ça ne soit pas le cas. Un peu bizarre étant donné que ce service n’a pas lieu d’exister s’il n’est pas à 100% sécurisé…
Bon déja, la xss n’est pas nouvelle, et existe depuis plusieurs années, et de toutes facon peut-on reelement creer une telle interface en la présentant comme 100% sécurisé, undernews nous rappel assez régulièrement que la sécurité totale nest q’un doux mythe…
C’est encore pire si elle est ancienne : même pas un effort de correction ! OMG ça craint de leur part…
Les commentaires sont fermés.