Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Une faille dans la Freebox v6

Je ne sais pas si c’est un hasard 😀 , mais la société Distribunet, spécialisée dans la sécurité a mis au jour une faille de type CSRF dans la Freebox V6 Server.

Bon, ça ne présente pas de grand risque puisqu’il faut être loggé sur http://mafreebox.free.fr/ pour que cela fonctionne, mais si c’est le cas, un site malveillant pourrait via un simple POST, rebooter la box (immédiatement ou à retardement) ou rediriger l’internaute vers un site tiers.

Mais je sais que la VRAIE question qui vous brule tous les lèvres c’est : Est ce que ces enfoirés de webmasters vont pouvoir désactiver à distance le bloqueur de pub à distance ?

Roooh, ça va je déconne 😉

Voici ce que dit Distribunet :

En effet, lors de nos tests , la plupart des scripts de la freebox vérifient au moins le champ referer afin de vérifier que la requête vient bien de l’interface de la freebox. Dans notre cas nous avons affaire à plusieurs failles. La première est qu’il suffit de crée une simple page HTML qui fait un POST sur « http://mafreebox.free.fr/system.cgi » avec les paramètres :

– « method » en valeur « system.reboot »
– « redirect_after » en valeur « Une_URL »
– « timeout » en valeur « 60 »
– « reboot » en valeur « Redémarrer la freebox »

Une fois le formulaire créer il suffira d’une ligne de javascript pour l’auto-poster.

La solution que l’on proposerait à Free (plutôt que d’utiliser un Referer) est d’utiliser un « jeton » (ou token) afin de ne plus être vulnérable aux failles CRSF. Pour tester , il vous suffit de vous connecter sur mafreebox.free.fr , d’y entrer vos identifiants , puis de visiter la page : Freebox Faille Duchnoun (aucun danger , nous faisons une redirection vers Google)

J’ai testé sur le lien qu’il donne la redirection vers Google n’a pas fonctionné. Peut être que Free a déjà patché ? Si c’est vrai, c’est marrant en tout cas, mais relativement sans risque, donc pas la peine de changer de FAI pour ça.

Merci à HotFirenet pour le partage.

Source

 


Maîtriser l’édition de vos fichiers PDF avec PDF Element 7 pour MAC – 43% de réduction

Offre spéciale fin d’été, 43% de réduction sur la licence

Avec la nouvelle version de PDF Element 7, disponible pour Windows et macOS, il vous est plus facile de modifier le texte et les images de vos PDF:
Il vous suffit de cliquer et de commencer à taper pour modifier du texte ou une image, exactement comme vous le feriez avec un traitement de texte. Modifiez entièrement le texte et les images PDF de toutes les manières possibles lorsque vous manipulez d’autres formats de fichier.

Fusionner et diviser
Fusionnez différents formats de fichiers en un seul PDF ou divisez un seul PDF en plusieurs PDF mais aussi, ajoutez, supprimez, extrayez, faites pivoter, réorganisez et rognez des pages facilement ou extrayez plusieurs pages PDF afin de créer un nouveau PDF.

Pour découvrir toutes ses fonctionnalités c’est ici