Notre informateur, le pirate Français ayant hier, découvert la vulnérabilité sur le site de l’Office de Tourisme de Toulouse a encore frappé. Cette fois ci, c’est le site Internet d’AOL qui est pointé du doigt.
Aujourd’hui, il nous livre en exclusivité une faille qu’il a découvert sur le moteur de recherche d’AOL. Il a lui-même prévenu les services d’AOL par mail. Pas de réponse, ou plutôt une réponse automatique qui fait rire :
“Cher utilisateur,
Merci d’avoir contacté AOL à l’aide du formulaire AOLRequetes. En réponse à votre requête, voici des informations susceptibles de vous aider.
Nous sommes trés attachés à vos commentaires et nous allons nous assurer qu’ils sont bien transmis aux équipes concernées. Soyez certains que nous sommes à l’écoute de tous les commentaires venant de nos utilisateurs. Malheureusement, en raison du grand nombre d’avis que nous recevons, nous ne sommes pas en mesure d’y répondre de manière personnalisée.
Cordialement,
L’équipe AOL France
En France, l’activité AOL est gérée par AOL France SNC, une Société en Nom Collectif au capital de 11 666,70€ enregistrée au RCS de Nanterre sous le numéro 402 192 777. Siège social : 115-123 avenue Charles de Gaulle, 92525 Neuilly-sur-Seine.
Copyright © AOL. Tous droits réservés“
La faille est de type Cross Site Scripting (ou XSS) et est exploitable depuis un simple navigateur Web en visitant le moteur de recherche. En voici la preuve, signée French security hacking :
Le pirate communique la variable qui est en cause via un PoC : http://recherche.aol.fr/aol/search?query=Heurts+Arabie+Saoudite&s_it=XSS
Espérons que, comme ils le disent, que l’alerte sera lue et prise en compte pour mettre en place un correctif…