Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Injection de code HTML/JavaScript au sein de l’application en ligne Google Sites

janvier 2009 par XMCO PARTNERS

Google Sites Reflective Cross-Site Scripting

 Date : 30 Janvier 2009

 Gravité : Moyenne

 Exploitation : Avec un lien malicieux

 Dommages :
Vol de session
Vol d’informations

 Description :

Une vulnérabilité vient d’être découverte sur la page d’authentification du nouveau service proposé par Google. Baptisé Google Sites, cette application en ligne permet à un utilisateur Google de créer son site web en quelques clics.

En incitant sa victime à suivre un lien malicieux, un pirate peut modifier l’apparence du site internet afin de mener une attaque de phishing afin de récupérer des informations sensibles (login, mot de passe...) ou peut voler la session de l’utilisateur.

L’impact de cette vulnérabilité est important puisqu’en récupérant ce cookie, le pirate peut accéder à l’ensemble des services Google (GMail, Google Docs, Google Agenda...).

Note : une preuve de concept affichant une fenêtre d’alerte est disponible publiquement

 Exploit :

Un code d’exploitation est disponible sur notre extranet

 Référence :

http://www.xssed.com/news/84/Google_Sites_Reflective_Cross-Site_Scripting/

 Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1233329645


Voir les articles précédents

    

Voir les articles suivants