Les failles sont présentes sur le nouveau site d’Universal, So Music, fruit de la collaboration d’Universal et de la Société Générale. C’est Paul Da Silva qui a révélé ces nombreuses vulnérabilités.
Le but de ce site est de proposer une carte bleue transparente avec le design d’une K7 audio, une offre d’emploi ainsi que une offre « spéciale » de 10 MP3 par an.
Comme d’habitude, le XSS permet gentiment de récupérer les cookies (entre autres joyeusetés) et donc de se logguer à la place d’un utilisateur dument inscrit… On parle quand même d’une carte bleue ici les enfants…
Visiblement, aucune variable du site n’est filtrée avant traitement ! Voici les captures d’écran prises par Paul Da Silva afin de démontrer la présence de ces nombreuses failles de sécurité :
Les commentaires sont fermés.