XMCO : Injection de code HTML/JavaScript au sein de l’application en ligne Google Sites
janvier 2009 par XMCO PARTNERS
Google Sites Reflective Cross-Site Scripting
– Date : 30 Janvier 2009
– Gravité : Moyenne
– Exploitation : Avec un lien malicieux
– Dommages :
Vol de session
Vol d’informations
– Description :
Une vulnérabilité vient d’être découverte sur la page d’authentification du nouveau service proposé par Google. Baptisé Google Sites, cette application en ligne permet à un utilisateur Google de créer son site web en quelques clics.
En incitant sa victime à suivre un lien malicieux, un pirate peut modifier l’apparence du site internet afin de mener une attaque de phishing afin de récupérer des informations sensibles (login, mot de passe...) ou peut voler la session de l’utilisateur.
L’impact de cette vulnérabilité est important puisqu’en récupérant ce cookie, le pirate peut accéder à l’ensemble des services Google (GMail, Google Docs, Google Agenda...).
Note : une preuve de concept affichant une fenêtre d’alerte est disponible publiquement
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Référence :
http://www.xssed.com/news/84/Google_Sites_Reflective_Cross-Site_Scripting/
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1233329645