Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Injection de code HTML/JavaScript au sein de l’application en ligne Google Sites

janvier 2009 par XMCO PARTNERS

Google Sites Reflective Cross-Site Scripting

- Date : 30 Janvier 2009

- Gravité : Moyenne

- Exploitation : Avec un lien malicieux

- Dommages :
Vol de session
Vol d’informations

- Description :

Une vulnérabilité vient d’être découverte sur la page d’authentification du nouveau service proposé par Google. Baptisé Google Sites, cette application en ligne permet à un utilisateur Google de créer son site web en quelques clics.

En incitant sa victime à suivre un lien malicieux, un pirate peut modifier l’apparence du site internet afin de mener une attaque de phishing afin de récupérer des informations sensibles (login, mot de passe...) ou peut voler la session de l’utilisateur.

L’impact de cette vulnérabilité est important puisqu’en récupérant ce cookie, le pirate peut accéder à l’ensemble des services Google (GMail, Google Docs, Google Agenda...).

Note : une preuve de concept affichant une fenêtre d’alerte est disponible publiquement

- Exploit :

Un code d’exploitation est disponible sur notre extranet

- Référence :

http://www.xssed.com/news/84/Google_Sites_Reflective_Cross-Site_Scripting/

- Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1233329645




Voir les articles précédents

    

Voir les articles suivants