Publié par UnderNews Actu - Télécharger l'application Android

Un internaute Français démontre que le site Web de la RATP est sujet aux attaques Cross-Site Scripting.

Pas question d’entrer dans les détails techniques dans cet article, la faille n’étant pas corrigée. De plus, l’internaute ayant découvert cette vulnérabilité désire garder l’anonymat.


ExpressVPN

Pour faire court, il s’agit d’une possible injection de code JavaScript dans le formulaire de recherche d’adresse dans la page Plan de quartier. Cette injection est problématique du fait qu’elle se trouve sur un portail relativement visité mais pas non plus critique car le site en question (www.ratp.info) ne propose pas d’achat en ligne.

Voici une capture d’écran ci-contre montrant clairement le problème.

La faille est de type non permanente (située dans le moteur de recherche).



Petit rappel sur l’exploitation d’une faille de type XSS :

  • Redirection (parfois de manière transparente) de l’utilisateur.
  • Vol d’informations, par exemple sessions et cookies.
  • Actions sur le site faillible, à l’insu de la victime et sous son identité (envois de messages, suppression de données, etc.)
  • Rendre la lecture d’une page difficile (boucle infinie d’alertes par exemple).

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (3 votes, note : 2,67 sur 5)
Loading...

Mots clés : , , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.