Open Hackday : Faille XSS sur Yahoo!

1
81

Hier, Korben qui se trouvait à Bucarest pour participer à l’Open Hackday organisé par Yahoo! a rencontré un hacker “blackhat” qui a découvert une faille de type Cross Site Scripting sur Yahoo.com ou plus exactement dans Yahoo! Pipes.

Le pirate se nomme Paxnwo et a conçu un exploit plutôt impressionnant. En envoyant à un utilisateur de Yahoo Mail, un lien vers une page de son cru, il récupère les informations du cookie et peut ainsi voler la session de sa victime.

Il a d’ailleurs posté un message détaillé sur Pastebin.

Grâce à son outil, il peut alors faire plusieurs choses comme vérifier si l’utilisateur est en ligne, récupérer ses contacts, s’identifiant en tant que cet utilisateur et lire ses emails, et cerise sur le gateau, faire un « Mass send » qui enverra le fameux mail avec le lien « infecté » à tous les contacts de la victime.

Pour info, la fonction Delete sert uniquement à faire un clear de la session volée pour passer à une autre.

 

Lire l’article de Korben sur le sujet.

Les commentaires sont fermés.