Libertés Numériques
72.3K views | +27 today
Follow
Libertés Numériques
Veille sur la sécurité et les libertés individuelles à l'heure d'Internet.
Your new post is loading...
Your new post is loading...
Scooped by Aurélien BADET
Scoop.it!

Firing Range : Le scanner de vulnérabilités Web open source de Google

Firing Range : Le scanner de vulnérabilités Web open source de Google | Libertés Numériques | Scoop.it

Google a lancé cette semaine un outil de pentesting nommé « Firing Range« , qui vise à améliorer l’efficacité des scanners automatisés dédiés à la sécurité des applications Web en les évaluant avec une large gamme de XSS et de quelques autres vulnérabilités Web exploitées à ce jour.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

QR-Codes : La sécurité du système en question

QR-Codes : La sécurité du système en question | Libertés Numériques | Scoop.it

Tout le monde connaît maintenant les fameux QR-Codes, que l’on croise un peu partout, tant sur le Web que dans la rue ou les magazines. Ils sont pratiques et lisible avec plein de matériel différent. Mais quid de la sécurité de ce système ? Un internaute s’est penché dessus…

Vous qui avez un smartphone ou une tablette, vous avez surement dû utiliser un QR-Code, qui permet de stocker toutes sortes d’informations. Un internaute connu sous le pseudonyme de Shirobi a contacté UnderNews après avoir fait une petite découverte et un PoC (Proof-of-Concept, ndlr). Résultat, il a forgé un QR-Code qui, une fois décodé et lu, génère une faille de type XSS du côté de l’utilisateur ! Pas mal, il fallait y penser.

Il a donc généré le QR-Code puis il a utilisé un service en ligne comme tant d’autre afin de le décoder. Et là surprise  une belle alerte JavaScript s’affiche à l’écran ! Pour ceux qui veulent tenter l’expérience, commencez par vous procurer le QR-Code via cette URL ou ci-dessous puis allez le décoder sur le site Esponce.

 

« XSSED BY SHIROBI » s’affiche à l’écran. Cela est bien sûr compromettant dans le cadre de certaines manipulations. Des applications non protégées et/ou mal développées pourraient permettre ce genre d’exécution de code. Code qui peut bien entendu s’avérer bien plus malveillant que ce simple message !

 

UnderNews en profite aussi pour suggérer un autre moyen de détournement qu’un pirate pourrait utiliser (et cela s’est déjà vu à Paris ). Un pirate peut forger un QR-Code contenant une URL renvoyant vers un site infecté et créé pour propager un malware via Drive-by-Download par exemple. Il va ensuite chercher des publicités par exemple utilisant les QR-Codes et coller le sien discrètement par dessus l’original. Facile, rapide et tous ceux qui liront le code pourront être potentiellement victime d’une infection de leur système.

Réfléchissez donc à deux fois avant de scanner des QR-Codes à tout va !

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Multiples failles XSS pour une dizaine de grandes universités internationales

Multiples failles XSS pour une dizaine de grandes universités internationales | Libertés Numériques | Scoop.it

Le pirate français XIIV et le groupe Unkn0wn font encore parler d’eux : ils ont mis en ligne une liste d’une dizaine d’universités prestigieuses vulnérables à des attaques de type XSS. Des captures d’écran sont à l’appui.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Alerte : Faille XSS sur le site Internet du Crédit Agricole du Languedoc

Alerte : Faille XSS sur le site Internet du Crédit Agricole du Languedoc | Libertés Numériques | Scoop.it

Alerte sécurité – Le site officiel de la banque Crédit Agricole du Languedoc semble être victime d’une vulnérabilité de type XSS. Faille critique étant donné la nature du site… Une capture d’écran à été diffusée par le site « XSS in your ass! ».

La capture d’écran montre que ce serait le moteur de recherche du site bancaire qui pose problème. Une faille XSS, qui, rappelons-le, peut s’avérer critique sur un site de cette nature : un pirate pourrait l’utiliser pour dérober la session et le cookie d’un utilisateurs connecté, ce qui lui permettrait d’accéder au service en ligne du compte bancaire de la victime.

La banque vient d’être alertée via son compte Twitter…

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Redirection malveillante... ils s'en foutent, pas nous

Redirection malveillante... ils s'en foutent, pas nous | Libertés Numériques | Scoop.it

Google n'a toujours pas corrigé sa redirection malveillante, CNN non plus, prudence ! Nous vous expliquions, en février et mars derniers, comment Google et eBay nous avaient répondu au sujet d'une redirection que zataz.com considère comme malveillante. Les deux géants de l'Internet estiment ces "bugs" comme des détails. Bilan, pas besoin de corriger. Nous vous proposions un exemple, ici, histoire de découvrir que le détail pouvait être particulièrement malveillant quand il était exploité dans une attaque de type phishing.

Pour les amateurs d'informations diffusées par l'Oncle Sam, par le biais de la chaîne CNN, prudence. Le même type de piège est possible via l'espace "Argent" de CNN.COM. Comme le montre notre exemple [ICI] sans danger, il est tout à fait possible de lancer un autre site web. Un pirate se fera un malin plaisir d'un inclure une page phishing, ou l'exécution d'un logiciel malveillant de type cheval de Troie, Keylogger, virus Gendarme, ...

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Prudence pour CNET et MobyGames

Prudence pour CNET et MobyGames | Libertés Numériques | Scoop.it

Deux importants sites de téléchargement légaux faillibles à un bug pouvant devenir rapidement malveillant. Rox89, lecteur de zataz.com, nous a fait part de deux bugs pouvant devenir rapidement malveillant dans les mains d'un internaute mal intentionné. Le premier concerne CNET. Un XSS vise ce portail international. D'autant plus gênant que l'espace de téléchargement est aussi concerné par cette vulnérabilité. Même sanction et faille pour le site Mobygames. Les deux sites ont été alertés via le protocole d'alerte de zataz.com. A noter que ce lecteur nous a aussi communiqué une faille pour un espace dédié à l'Etat de l'Utah (aux USA, ndlr zataz.com).

Pour rappel, un XSS est à prendre très au sérieux. Cette faille permet d'afficher n'importe quel message dans l'espace numérique visé (Comme dans notre capture écran, NDLR ZATAZ.COM). Un pirate peut aussi injecter un logiciel (trojan, virus...) dans la machine d'un visiteur ; ou de jouer avec un XSS backdoor (le pc ainsi infiltré se transforme en zombie, aux ordres du pirate, ndlr zataz.com) et exécuter un phishing. Il est conseillé de taper l'url dans son navigateur que de suivre une adresse diffusée via un forum, Twitter, email, ...

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Insolite : Un site de l’U.S Army transformé en TETRIS par un pirate !

Insolite : Un site de l’U.S Army transformé en TETRIS par un pirate ! | Libertés Numériques | Scoop.it

Voila qui est insolite ! Le pirate français XIIV du groupe Unkn0wn a présenté et exploité une faille XSS sur un sous domaine du site army.mil. Après les universités, america.gov et senat.gov, voici son nouvel exploit !

La vulnérabilité se base sur un faille XSS qui permet d’exécuter du code JavaScript et HTML au sein du site officiel army.mil. Le moteur de recherche est exploité et des messages JS sont exécutés. Le jeu TETRIS est inclu via une iFrame externe hébergé à l’adresse http://www.unkn0wns.tk/tetris.

 

more...
No comment yet.