XMCO : Injection de code HTML/JavaScript au sein du réseau social Facebook
janvier 2009 par XMCO PARTNERS
Facebook’s "Reset Password" page suffers major XSS flaw
– Date : 05 Janvier 2009
– Plateforme : Toutes
– Programme : Facebook
– Gravité : Elevée
– Exploitation : Avec un lien malicieux
– Dommages :
Vol de session
Vol d’informations
– Description :
Une vulnérabilité a été découverte sur le site Internet Facebook. Ce réseau social comptant plus de 140 millions de membres est vulnérable à une faille de type "Cross Site Scripting" (XSS).
En incitant sa victime à suivre un lien judicieusement conçu, un attaquant distant est en mesure de voler le cookie de session ou de mener une attaque de phishing afin de voler des informations sensibles.
Quatre vulnérabilités identiques affectant ce même réseau social avaient déjà été découverte deux semaines auparavant.
Avec le nombre de failles de sécurité découvertes sur ce type de réseau, les utilisateurs peuvent s’inquiéter vis à vis des informations sensibles déposées sur celui-ci.
Note : une preuve de concept est disponible.
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
http://www.xssed.com/news/81/Facebooks_Reset_Password_page_suffers_major_XSS_flaw/
– Référence :
http://www.xssed.com/news/81/Facebooks_Reset_Password_page_suffers_major_XSS_flaw/
– Correction :
Actuellement, aucune correction n’a été effectuée.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1231154919