GitHub aurait pu être piraté suite à une faille Ruby on Rails

0

Un développeur Russe du nom de Egor Homakov a exploité une faille dans Rails découverte l’année dernière et ainsi pu accéder à l’ensemble des comptes GitHub.

La faille se situe au niveau des variables attr_accessible et attr_protected qui, si elles ne sont pas déclarées, permettent à des personnes malintentionnées d’ajouter une valeur dans n’importe quelle colonne de la base de données.

Étant donné que la plupart des développeurs ne sécurisent pas cette partie, il y a de nombreuses applications Rails qui sont faillibles, dont GitHub.

Pour se connecter sur un compte utilisateur qui ne lui appartient pas, le pirate a juste à éditer la page web avec Firebug et ajouter un champ qui lui permet de voir ou de modifier certaines valeurs en base.

Suite à un full disclosure, la faille est corrigée, y compris chez Github

 

Sources : Twitter, Korben

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.