|
RECHERCHE
|
:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Excès d’XSS
Encore de l’attaque Web. Mais côté client cette fois. Car si les statistiques donnent souvent la part belle aux dangers que risquent les professionnels, il serait fort peu sage d’oublier que les malversations qui visent le poste client via des serveurs Web vulnérables (les fameuses attaques XSS, ou Cross Site Scripting) totalisent plus de 70 % des actions cyberdélinquantes dans le monde.
Vient donc s’ajouter à la bibliothèque de l’honnête homme sécurité le blog de Christian Seifert, qui nous offre cette semaine deux articles nécessaires. Le premier recense tout ce qui s’est publié ces derniers temps en matière de « rapports de sinistralité » chez les différents éditeurs du domaine. Les Sophos, Fijan, ScanSafe, Microsoft, McAfee, Websense… voilà qui évite de partir à la pêche aux URL au petit-bonheur. L’autre article « Types of Web-Based Client-Side Attacks », bien plus profond et pertinent, décrit simplement comment se déroulent généralement les intrusions côté client, ainsi que leurs impacts en terme de confidentialité, de disponibilité et d’intégrité.
Fermons le ban en signalant la mise à disposition par son auteur de CookieMonster, un outil facilitant, comme son nom l’indique, le vol de cookies tel qu’il a été récemment popularisé dans le hack des sessions Gmail. « J’insiste sur le fait que, contrairement à ce qui a été raconté dans la presse, mon kit n’est absolument pas spécialisé dans les attaques Gmail » insiste le chercheur Mike Perry. Faisant suite à sa présentation DefCon consacrée au détournement de cookies dans le cadre d’une session https, il nous offre le résultat édifiant des sites qu’il pense vulnérables à ce genre d’attaque. United, Expédia, US Airways, Bank of America, Discover Card, les Apple Store en ligne, eBay, Google Search et Blogger… il n’y a pas de quoi dormir tranquille.
|
|
Les 10 actualités suivantes :
|
|
|
|
Les 10 actualités précédentes :
|
|
|
|
