Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Faille XSS dans Yahoo!

Je suis actuellement à Bucarest où j’assiste à un Open Hackday organisé par Yahoo! . Objectif pour les participants : Pondre un hack original utilisant les technos de Yahoo!

Sur place, j’ai rencontré Paxnwo, un hacker de type blackhat qui va surement bien surprendre les membres du jury. En effet, il a découvert pendant les premières heures du concours une faille XSS sur le site Yahoo.com, ou plus exactement dans Yahoo! Pipes.

Ironique non ?

Du coup, il a conçu un exploit plutôt impressionnant. En envoyant à un utilisateur de Yahoo Mail, un lien vers une page de son cru, il récupère les informations du cookie et peut ainsi voler la session de sa victime.

Grâce à son outil, il peut alors faire plusieurs choses comme vérifier si l’utilisateur est en ligne, récupérer ses contacts, s’identifiant en tant que cet utilisateur et lire ses emails, et cerise sur le gateau, faire un « Mass send » qui enverra le fameux mail avec le lien « infecté » à tous les contacts de la victime.

Diabolique !

Pour info, la fonction Delete sert uniquement à faire un clear de la session volée pour passer à une autre.

Je lui ai demandé s’il allait expliquer à Yahoo! comment corriger cette faille mais il m’a répondu que non. Il va garder cette faille pour lui et l’exploiter pour « sa consommation personnelle ». Ahaha l’affreux Blackhat !

Edit : Finalement, il vient de montrer le code au jury de Yahoo! et l’un d’entre eux a prévenu par SMS les développeurs. J’ai eu le temps de faire mes captures écran, mais à mon avis, ça va être rapidement patché.

Juste pour la petite histoire, les services secrets Roumains étaient présents ce matin, pour prendre des photos des participants, façon « discrète mais pas trop » (vous connaissez la police…)

Vous pouvez retrouver Paxnwo et ses pôtes sur le site de sa team : rstcenter.com (en roumain)


Découvrez kDrive Le Cloud sécurisé pour PME et particuliers

Vos données sont chiffrées et kDrive est exclusivement développé et hébergé en Suisse – pas de Cloud Act avec nous

kDrive dispose de sa propre suite bureautique complète (kSuite) qui est totalement compatible avec les outils les plus répandus : Office 365 (Word, Excel, PowerPoint), Libre Office, Open Office, Google Docs, les fichiers PDF ou HTML … Et comme vous pouvez aussi y migrer vos documents Dropbox, Google Drive et OneDrive, il est possible de tout centraliser et travailler en temps réel avec votre équipe au sein d’un seul et même écosystème unifié … et éventuellement économiser le prix de certaines licences au passage. Une alternative aux GAFAM c’est toujours bon à prendre.

Outil de révision, chat intégré, protection et chiffrage de vos données (vous pourrez bientôt chiffrer via votre propre clé privée), sauvegardes (sur 3 supports physiques différents), numérisation de documents, moteur de recherche … sont aussi de la partie

Testez kDrive