Exclusivité UnderNews – Un internaute connu sous le pseudo de Arfing vient de nous communiquer une vulnérabilité de type Cross site Scripting (XSS) présente sur le portail communautaire MySpace.
La faille est exploitable en étant connecté ou non. Elle se situe une variable servant à remonter les erreurs. Nous n’en dirons pas plus ici. Dans le PoC que l’on nous a fait parvenir, le pirate lance une simple requête via son navigateur vers l’album photo d’un profil qu’il n’a pas ajouté à ses “amis”. Il rencontre donc le fameux message d’erreur :
A ce moment là, il a pu injecter du code JavaScript via un paramètre de l’URL… Voici le résultat obtenu :
Les commentaires sont fermés.