Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée
Faye
Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia », l'éditeur d'Hadopi.fr
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
Le 4 octobre 2010 à 10:51
(31 189
lectures)
Il y a 76 commentaires
INpactien
Quel intérêt de modifier un message d'alerte JavaScript lorsqu'on sait pertinemment que celui-ci est exécuté sur le poste client?
C'est à dire sur son propre poste et pas ailleur
A part peut être vouloir péter plus haut que son cul
C'est à dire sur son propre poste et pas ailleur
A part peut être vouloir péter plus haut que son cul
Toi c'est pas le première fois que je te prends à dire des conneries
INpactien
Commentaire_supprime
Le lundi 4 octobre 2010 à 19:46:10
#52
Inscrit
le vendredi 31 octobre 08
-
24523
commentaires
Je t'invites à rechercher le terme "XSS".
Pour les deux dernières lettres de cette abréviation, c'est tout le portrait de cette haute autorité...
--------------------------- et merde, il pleut ! -------------------------------> []
INpactien
Vous faîtes vraiment toute une montagne d'une taupinière.
La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.
Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.
Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
INpactien
Je m'amuse à changer le captcha plusieurs fois de suite http://hadopi.fr/contact.php). résultat :
Forbidden
You don't have permission to access /contact.php on this server.
You don't have permission to access /contact.php on this server.
INpactien
Ça sent le 
INpactien
j'aime bien les 3 cas pour les contacter :
Je souhaite signaler une erreur sur le site.
Je suis parlementaire ou élu local, je souhaite des informations spécifiques.
Je suis journaliste, je souhaite d'autres informations que celles présentes dans la rubrique presse.
Et moi je peu pas les contacter ? :(
Je souhaite signaler une erreur sur le site.
Je suis parlementaire ou élu local, je souhaite des informations spécifiques.
Je suis journaliste, je souhaite d'autres informations que celles présentes dans la rubrique presse.
Et moi je peu pas les contacter ? :(
INpactien
Faildopi 
INpactien
illustreanonyme
Le lundi 4 octobre 2010 à 23:10:26
#58
Inscrit
le mercredi 18 février 09
-
1262
commentaires
Hadopi a des failles ?
elle a qu'à se faire tirer...
la peau !
Ok je sors
INpactien
Ils ont pensé à mettre un code Captcha sur leur formulaire maintenant 
Connaisent-t-ils les failles par injections SQL ? sur contact.php ?
J'ai pas trop le temps de m'y mettre :s
Connaisent-t-ils les failles par injections SQL ? sur contact.php ?
J'ai pas trop le temps de m'y mettre :s
INpactien
Vous faîtes vraiment toute une montagne d'une taupinière.
La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.
Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.
Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
Je pense qu'il suffit de mettre un petit js perso en ligne, modifier un peu l'injection de code et on peut faire télécharger une tonne de MP3 illégaux dans les fichiers temporaires de ton navigateur (donc sur ton disque dur) avec une page qui affiche le site hadopi...
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] Quand Google cache des poneys dans...](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui -
Adobe Reader Touch pour Windows 8 peut enfin imprimer
(3)
Une meilleure version que la classique
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable pendant 19 heures -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable pendant 19 heures
