Un chercheur spécialisé dans la sécurité Web depuis 2005, David Vieira-Kurz a découvert et fait corrigé une importante vulnérabilité SQL sur un sous-domaine de la plateforme Ebay qui aurait pu conduire à une belle fuite de données… Explications.
Il explique que c’est au cours d’une investigation sur les nombreux sous-domaines du site Ebay, qu’il a trouvé une injection SQL exploitable qu’il a ensuite rapporté à l’équipe de sécurité d’Ebay. Il affirme qu’il a fallu 20 jours pour que ces derniers corrige l’injection SQL !
La page vulnérable était situé à dans le gestionnaire d’article situé sur le sous domaine sea.ebay.com et le paramètre vulnérable était la variable “checkbox”, un tableau venant de l’action POST. Celui-ci a pu constaté que des erreurs SQL remontaient lorsqu’il tentait d’injecter des fausses informations.
Après quelques essais, le chercheur a réussi à l’exploiter :
Agenda de report :
October, 30th 2012: Vulnerability found and reported to Ebay ( securityresearch@ebay.com )
November, 05th 2012: Vulnerability reported to Ebay once again
November, 05th 2012: Ebay confirms the presence of the SQL injection
November, 16th 2012: Ebay replied that the SQL Injection is now fixed
November, 18th 2012: public post
Et bien, décidément, en ce moment, ça y va… Java, Skype, maintenant Ebay : les gros sont à la fête par les temps qui courent !
Pas très rassurant tout ça :/
Les commentaires sont fermés.