Un internaute Français démontre que le site Web de la RATP est sujet aux attaques Cross-Site Scripting.
Pas question d’entrer dans les détails techniques dans cet article, la faille n’étant pas corrigée. De plus, l’internaute ayant découvert cette vulnérabilité désire garder l’anonymat.
Pour faire court, il s’agit d’une possible injection de code JavaScript dans le formulaire de recherche d’adresse dans la page Plan de quartier. Cette injection est problématique du fait qu’elle se trouve sur un portail relativement visité mais pas non plus critique car le site en question (www.ratp.info) ne propose pas d’achat en ligne.
Voici une capture d’écran ci-contre montrant clairement le problème.
La faille est de type non permanente (située dans le moteur de recherche).
Petit rappel sur l’exploitation d’une faille de type XSS :
- Redirection (parfois de manière transparente) de l’utilisateur.
- Vol d’informations, par exemple sessions et cookies.
- Actions sur le site faillible, à l’insu de la victime et sous son identité (envois de messages, suppression de données, etc.)
- Rendre la lecture d’une page difficile (boucle infinie d’alertes par exemple).