Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée
Faye
Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia », l'éditeur d'Hadopi.fr
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
Le 4 octobre 2010 à 10:51
(31 199
lectures)
Il y a 76 commentaires
INpactien
Mouais enfin vous feriez mieux de balayer devant votre porte d'abord.
PCI est vulnérable à plein d'attaques CSRF. En fait, presque toute action sur PCI est vulnérable à du CSRF.
PCI est vulnérable à plein d'attaques CSRF. En fait, presque toute action sur PCI est vulnérable à du CSRF.
Merci Captain Obvious.
INpactien
@Marc Rees : son conseil n'était pas d'éteindre son ordinateur ?
INpactien
Le site de la HADOPI a été réalisé sous Drupal.
Il existe une API dédiée aux formulaires.
De plus, un module "webforms" qui permet de gérer très simplement les formulaires existe également.
Si dans le premier cas, les bons usages doivent être respectés pour éviter ce genre de faille, dans le second, tout est inclus.
Ainsi, on a deux méthodes (entre autres) pour créer des formulaires "sûrs", ou du moins insensibles à ce genre d'attaque.
Je me pose donc des questions...
Il existe une API dédiée aux formulaires.
De plus, un module "webforms" qui permet de gérer très simplement les formulaires existe également.
Si dans le premier cas, les bons usages doivent être respectés pour éviter ce genre de faille, dans le second, tout est inclus.
Ainsi, on a deux méthodes (entre autres) pour créer des formulaires "sûrs", ou du moins insensibles à ce genre d'attaque.
Je me pose donc des questions...
INpactien
pourquoi utiliser la roue quand on peut la réinventer hein... (ovale ou carrée si possible 
)
)
Equipe
Mouais enfin vous feriez mieux de balayer devant votre porte d'abord.
PCI est vulnérable à plein d'attaques CSRF. En fait, presque toute action sur PCI est vulnérable à du CSRF.
PCI est vulnérable à plein d'attaques CSRF. En fait, presque toute action sur PCI est vulnérable à du CSRF.
Notre code n'est pas parfait loin de là. Mais, sauf erreur, PCI n'a pas fait voter une loi ou n'est pas à la tête d'un dispositif visant à sanctionner pénalement un défaut de sécurisation.
INpactien
Tu veux un petit audit de sécurité Marc ? 
Merci pour la news (encore) !
Merci pour la news (encore) !
INpactien
Cyber_zergo
Le lundi 4 octobre 2010 à 13:06:41
#27
Inscrit
le vendredi 10 octobre 08
-
1167
commentaires
Moi j'en ai trouvé une sur le site pixmania et dessus je fait de la pub pour hadopi 
http://goo.gl/8kjQ
http://goo.gl/8kjQ
INpactien
illustreanonyme
Le lundi 4 octobre 2010 à 13:13:38
#28
Inscrit
le mercredi 18 février 09
-
1262
commentaires
Aucun intérêt à attaquer Hadopi.fr ...il n'y a rien sur ce site !
INpactien
TBirdTheYuri
Le lundi 4 octobre 2010 à 13:21:15
#29
Inscrit
le samedi 23 juin 07
-
8242
commentaires
Notre code n'est pas parfait loin de là. Mais, sauf erreur, PCI n'a pas fait voter une loi ou n'est pas à la tête d'un dispositif visant à sanctionner pénalement un défaut de sécurisation.
+1
INpactien
Moi j'en ai trouvé une sur le site pixmania et dessus je fait de la pub pour hadopi
http://goo.gl/8kjQ
http://goo.gl/8kjQ
Il serait bon de prévenir pixmania
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
EVGA Precision X se met à jour et passe en version 4.2.0
(2)
Facile, il faut tout pousser à droite -
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(2)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai -
Sleeping Dogs pour 12,49 €
Valable jusqu'au 27 mai -
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai
