Myspace.com hit by a Permanent XSS

– Date : 29 Janvier 2009

– Gravité : Elevée

– Exploitation : Avec une page web malicieuse

– Dommages :

Vol de session
Vol d’informations

– Description :
Une vulnérabilité vient d’être découverte au sein du réseau social Myspace. Celle-ci permet à un utilisateur mal intentionné de mener une attaque de type "Cross Site Scripting" (XSS).

Cette faille de sécurité est plus grave qu’elle n’en a l’air car le code JavaScript malicieux est enregistré dans la base de données de Myspace, et ce de façon permanente.
Ainsi, un utilisateur peut piéger ses visiteurs lors de la visite de son profil. Il peut, par exemple, voler les cookies de session afin d’usurper l’identité de ses visiteurs et modifier leur profil à leur insu. Il est probable qu’un ver exploite cette faille de sécurité si celle-ci n’est pas corrigée très vite.

Le problème provient d’un manque de contrôle sur les données soumise par l’utilisateur. En effet, Myspace interdisait la balise "