Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco Partners : Exploitation d’une vulnérabilité de type XSS pour casser des mots de passe de manière distribuée

octobre 2009 par XMCO PARTNERS

- Date : 23 Octobre 2009

- Description :

Lors de la récente conférence Hacker Halted 09 [1], Greg Ose et Cris Necka
ont présenté un nouvel outil baptisé DistCrypt [2].

Cet outil permet d’exploiter concrètement une vulnérabilité de type XSS
(Cross Site Scripting) en injectant une iframe contenant un applet Java.
L’applet Java en question sera exécuté par toutes les victimes de
l’attaque XSS (zombies) et communiquera avec un serveur central afin de
récupérer un hash à casser.

Cet outil est le premier à exploiter la puissance de calcul de machines
infectées via une attaque XSS, et ce, de manière distribuée.

Les auteurs de DistCrypt, Greg Ose et Cris Necka, ont également trouvé un
moyen de continuer l’exécution de l’applet Java même lorsque la page
contenant la faille est fermée.

- Référence :

[1] http://www.hackerhalted.com/

[2] http://labs.neohapsis.com/2009/10/21/hacker-halted-2009/

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1256290119


Voir les articles précédents

    

Voir les articles suivants