IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

eBay colmate une faille sur son site qui aurait permis à des attaquants


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 439
    Points
    196 439
    Par défaut eBay colmate une faille sur son site qui aurait permis à des attaquants
    eBay colmate une faille sur son site qui aurait permis à des attaquants
    de subtiliser des identifiants d'utilisateurs

    Un bogue critique sur le site d’eBay pouvait permettre à des personnes malveillantes de créer de fausses pages de connexion pour récolter des mots de passe et des identifiants des utilisateurs du service de ventes aux enchères en ligne.

    C’est un chercheur en sécurité indépendant qui a trouvé la faille au début du mois de décembre qui explique avoir alerté l’entreprise le vendredi 11 décembre. Après avoir donné une première réponse au chercheur le jour suivant pour lui demander plus d'informations sur la faille, eBay a cessé de répondre à ses courriels et a finalement décidé de colmater la faille la semaine dernière.

    Le chercheur, qui se fait appeler MLT, a expliqué que n’importe qui aurait pu profiter du bogue de type XSS pour cibler des utilisateurs du service et récolter leurs identifiants en se servant d’une technique d’hameçonnage. Dans le billet où il a expliqué comment le bogue aurait pu être utilisé, il a noté que « la vulnérabilité est désormais colmatée, mais il devrait être souligné que j’ai attendu un mois sans avoir de réponse de la part d’eBay et qu’ils se sont précipités pour colmater la brèche uniquement après que les médias les aient contactés sur le sujet ».

    Il a d’abord expliqué les étapes pour mettre sur pied une authentique page de phishing avant de montrer avec quelle facilité cela était applicable sur eBay ; obtenir une copie de la page d’identification d’eBay (qui peut être fait via un logiciel qui fait des miroirs de sites web pour automatiser le processus), après quoi il suffisait de modifier les entrées du formulaire de la page (le formulaire de connexion) pour envoyer les données à votre script PHP à la place du script de connexion d’eBay. La vidéo ci-dessous est une preuve du concept :


    « Ils n’ont vraiment aucune excuse d’avoir laissé leur domaine principal être vulnérable à XSS », a-t-il confié lors d’un entretien qui a eu lieu avant que la faille n’ait été colmatée. « Nous sommes en 2016, nous avons de nombreuses technologies mises en place pour prévenir les attaques XSS. (…) De nombreux sites ont eu des vulnérabilités XSS par le passé, à l’instar de Facebook.com. Mais trouver une faille XSS sur Facebook maintenant sera une tâche extrêmement difficile parce qu’ils ont mis les mesures de sécurité appropriées en place. [Je ne sais pas] pourquoi eBay ne peut pas faire la même chose ». « Ils ne devraient JAMAIS permettre à quiconque d’effectuer des redirections vers JavaScript de la sorte », a-t-il ajouté.

    Ryan Moore, un porte-parole d'eBay, a déclaré la semaine dernière que la compagnie est « engagée à fournir un marché sûr et sécuritaire pour nos millions de clients à travers le monde», et qu'ils travaillaient « rapidement » pour les fixer. Moore a expliqué qu'il y avait « un problème de communication » parce MLT « a fait suivre son rapport de bogue initial en se servant d’un alias différent pour ses courriels ».

    En 2014, Jaanus Kääp, un chercheur qui se trouve en Estonie, a découvert une vulnérabilité du même type (XSS) et a fait parvenir à eBay des courriels et en avril 2015 eBay n’avait toujours pas fourni de correctif. Selon la description qu’il a faite sur son blog, le bogue pourrait permettre à un attaquant de lancer une attaque XSS sur le système de messagerie interne d’eBay en interceptant et en modifiant une requête. Kääp a indiqué que la vulnérabilité pouvait s’avérer avoir une portée importante pour les attaques ciblées dans la mesure où les sessions cookies dans eBay n’étaient pas HTTPOnly, ce qui aurait pu aider à mitiger les attaques puisqu’un cookie de ce type a la particularité d’être accessible seulement via HTTP(s), l’accès à cet élément est restreint à tous les non HTTP-API comme JavaScript. Les cookies HTTPOnly sont généralement utilisés pour conserver les informations d’authentification afin de protéger ces dernières contre les attaques XSS.

    Source : blog MLT, blog Jaanus Kääp
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Profil pro
    Étudiant
    Inscrit en
    Juillet 2009
    Messages
    56
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2009
    Messages : 56
    Points : 163
    Points
    163
    Par défaut
    Suite à l'attaque d'ebay en 2014 j'avais eu des alerte de tentative de connexion de pays étranger sur certains de mes comptes...

    Ca m'avait deja gonflé de constater qu'en 2015 y'a encore des entreprises de merde qui ne font pas au moins du salt hashage, alors que putain c'est un truc elementaire...
    Et qui s'en tirent en plus, sans aucun dommage (alors que leurs devs devraient littéralement être pendus par les couilles et fouetté avec des orties)

    Et là je me rend que cette boite mafieuse continue de faire de la merde, que c'est aux utilistateur externe de relevée les failles, et qu'ils attendent que ça fassent du bruit pour colmater et communiquer dessus...

    Alors OK, aucun système n'est infaillible mais ça serait VRAIMENT BIEN un jour de penaliser les entreprises qui font ouvertement de la merde parce qu'elles en ont juste rien à battre de la sécurité de leur client (lisibilité des mot de passe, communication sur le sujet, refus de colmater les failles...)

Discussions similaires

  1. Réponses: 4
    Dernier message: 09/05/2012, 15h24
  2. Comment savoir l'origine d'une visite sur son site?
    Par Marc22 dans le forum Général Conception Web
    Réponses: 4
    Dernier message: 10/03/2011, 15h27
  3. Mettre une radio flux asx sur son site
    Par serna dans le forum Débuter
    Réponses: 0
    Dernier message: 19/01/2010, 19h21
  4. Mettre une vidéo AVI sur son site
    Par bigsister dans le forum Balisage (X)HTML et validation W3C
    Réponses: 13
    Dernier message: 27/10/2009, 13h52
  5. [CKEditor] Qui utilise FCKeditor sur son site php pour config ?!
    Par guy2004 dans le forum Bibliothèques & Frameworks
    Réponses: 62
    Dernier message: 26/10/2005, 19h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo