Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco Partners : de nombreux sites bancaires grecs sous la menace des pirates

mai 2009 par XMCO PARTNERS

- Date : 11 Mai 2009

- Dommages :
Vol de session
Vol d’informations

- Description :

Un pirate vient de révéler publiquement de nombreuses failles de sécurité
affectant une grande partie des sites internet bancaires grecs. En
exploitant celles-ci, un pirate peut mener principalement des attaques de type "Cross Site Scripting" (XSS), mais également de Phishing.

Les problèmes résultent de paramètres non contrôlés. En insérant un code HTML/JavaScript malicieux, il est alors possible de voler le cookie de
session des utilisateurs, de rediriger ceux-ci vers un faux site à l’image
du site piraté pour voler par exemple leurs identifiants. Il est également
possible de modifier l’apparence visuelle du site vulnérable de sorte à
obtenir les identifiants, mais également d’autres informations sensibles (carte bancaire, information personnelle...).

Ces attaques nécessitent tout de même que l’utilisateur clique sur un lien malicieux ou visite une page dangereuse.

Le pirate a bien mis l’accent sur le fait que la plupart des sites
vulnérables utilisent le protocole sécurisé HTTPS qui ne protège en rien
contre ces attaques.

Il est possible de voir dans les jours prochains de nombreuses campagnes
d’emails usurpant l’identité de banques grecques pour inciter les
utilisateurs à suivre un lien malicieux fourni dans l’email.

- Référence :

http://www.xssed.com/news/96/Major_Greek_bank_sites_with_SSL_vulnerable_to_XSS_and_open_redirects/

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1242030034


Voir les articles précédents

    

Voir les articles suivants