XMCO : Une vulnérabilité de type XSS touche le site Myspace
janvier 2009 par XMCO PARTNERS
Myspace.com hit by a Permanent XSS
– Date : 29 Janvier 2009
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommages :
Vol de session
Vol d’informations
– Description :
Une vulnérabilité vient d’être découverte au sein du réseau social Myspace. Celle-ci permet à un utilisateur mal intentionné de mener une attaque de type "Cross Site Scripting" (XSS).
Cette faille de sécurité est plus grave qu’elle n’en a l’air car le code JavaScript malicieux est enregistré dans la base de données de Myspace, et ce de façon permanente.
Ainsi, un utilisateur peut piéger ses visiteurs lors de la visite de son profil. Il peut, par exemple, voler les cookies de session afin d’usurper l’identité de ses visiteurs et modifier leur profil à leur insu. Il est probable qu’un ver exploite cette faille de sécurité si celle-ci n’est pas corrigée très vite.
Le problème provient d’un manque de contrôle sur les données soumise par l’utilisateur. En effet, Myspace interdisait la balise "
Vulnérabilités
- Vigilance Alertes Vulnérabilités - Qt : buffer (...)
- Vigilance Alertes Vulnérabilités - Mbed TLS : (...)
- Vigilance Alertes Vulnérabilités - FreeRDP : (...)
- Vigilance Alertes Vulnérabilités - Veritas (...)
- CERTFR-2024-AVI-0326 : Multiples vulnérabilités
- CERTFR-2024-AVI-0325 : Multiples vulnérabilités
- CERTFR-2024-AVI-0324 : Multiples vulnérabilités
- CERTFR-2024-AVI-0323 : Multiples vulnérabilités
- CERTFR-2024-AVI-0322 : Multiples vulnérabilités
- CERTFR-2024-AVI-0321 : Multiples vulnérabilités
All our news in english
- Vigilance Vulnerability Alerts - Qt: buffer (...)
- Vigilance Vulnerability Alerts - Mbed TLS: (...)
- Vigilance Vulnerability Alerts - FreeRDP: (...)
- Shaping Cybersecurity Policy towards a (...)
- Vigilance Vulnerability Alerts - Veritas (...)
- Stoïk partners with Crowdstrike to launch (...)
- Atos renews its AWS Managed Service Provider (...)
- LabHost Bust Commentary from Semperis
- Checkmarx and OWASP Launch First-ever Global (...)
- Swissbit introduces iShield Key Pro with (...)
Alle unsere News auf deutsch
- Jeder Euro, der in Deutschland durch Betrug (...)
- Zunehmende Migration von Unternehmen in die (...)
- Raspberry Robin: Vorsicht vor Malware-Bedrohung
- Check Point kommentiert die Maßnahmen der USA (...)
- XZ Utils-Vorfall: Open Source als Software (...)
- Identity Management Day
- Umfrage des SANS Institutes zielt auf die (...)
- Vereinfachung der MSP-Verwaltung für Microsoft (...)
- Rosenberger OSI erweitert Portfolio durch (...)
- Unternehmen sind anfällig für bildbasiertes und (...)