Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Faille XSS dans Yahoo!

Je suis actuellement à Bucarest où j’assiste à un Open Hackday organisé par Yahoo! . Objectif pour les participants : Pondre un hack original utilisant les technos de Yahoo!

Sur place, j’ai rencontré Paxnwo, un hacker de type blackhat qui va surement bien surprendre les membres du jury. En effet, il a découvert pendant les premières heures du concours une faille XSS sur le site Yahoo.com, ou plus exactement dans Yahoo! Pipes.

Ironique non ?

Du coup, il a conçu un exploit plutôt impressionnant. En envoyant à un utilisateur de Yahoo Mail, un lien vers une page de son cru, il récupère les informations du cookie et peut ainsi voler la session de sa victime.

Grâce à son outil, il peut alors faire plusieurs choses comme vérifier si l’utilisateur est en ligne, récupérer ses contacts, s’identifiant en tant que cet utilisateur et lire ses emails, et cerise sur le gateau, faire un « Mass send » qui enverra le fameux mail avec le lien « infecté » à tous les contacts de la victime.

Diabolique !

Pour info, la fonction Delete sert uniquement à faire un clear de la session volée pour passer à une autre.

Je lui ai demandé s’il allait expliquer à Yahoo! comment corriger cette faille mais il m’a répondu que non. Il va garder cette faille pour lui et l’exploiter pour « sa consommation personnelle ». Ahaha l’affreux Blackhat !

Edit : Finalement, il vient de montrer le code au jury de Yahoo! et l’un d’entre eux a prévenu par SMS les développeurs. J’ai eu le temps de faire mes captures écran, mais à mon avis, ça va être rapidement patché.

Juste pour la petite histoire, les services secrets Roumains étaient présents ce matin, pour prendre des photos des participants, façon « discrète mais pas trop » (vous connaissez la police…)

Vous pouvez retrouver Paxnwo et ses pôtes sur le site de sa team : rstcenter.com (en roumain)


Serveur NAS Synology DS218J – une valeur sûre dans un monde de brut

Le serveur NAS Synology DiskStation DS218j, c’est une solution performante de stockage conçue pour les particuliers, qui vous donne la possibilité de vous créer un cloud personnel. Muni de 2 baies, il est parfait pour un usage domestique. Son excellent débit séquentiel de 113 Mo/s en lecture et 112 Mo/s en écriture est rendu possible grâce à son double processeur Marvell Armada 385 88F6820 double coeur à 1,3 GH, avec moteur de chiffrement matériel.

Ce serveur NAS s’adapte sans effort aux environnements Windows, Mac ou Linux. Vous pouvez garder et synchroniser vos données Dropbox, Google Drive, Microsoft OneDrive, Baidu et Box sur votre serveur grâce au Cloud Sync.