Un blog propulsé par WordPress
©Michel Bobillier aka Athos99, tous droits réservés 2007. Toutes les photos de ce site sont protégées par copyright, si vous désirez une de mes photos, contactez-moi
thos99, le blog photo artistique et d’information sur Genève

Faille de sécurité pour le plugin de FeedBurner de WordPress

(Posté par Athos99 le 3 octobre 2007)

Une faille de sécurité a été découverte dans le plugin de FeedBurner utilisé par WordPress.  Un utilisateur mal attentionné pourrait configurer et contrôler à distance ce plugin.  La bonne nouvelle, un jour après que cette faille potentielle a été découverte, FeedBurner à corrigé ce problème et propose une nouvelle version 2.3 de son plugin.

La nouvelle version 2.3 de ce plugin peut être téléchargée à l’adresse suivante : http://www.feedburner.com/fb/a/help/wordpress_quickstart 

Catégorie: sécurité
Tags :, , ,

Un commentaire »

  1. Bonjour,
    Attention xxxxxx(1), n’est pas un site transparent et sécurisé,
    leur serveur est surement bien sécurisé, mais la faille vient
    du site, qui est non sécurisé et qui offre tout les accés et oui,
    vous avez bien lu, un travail d’amateur .
    N’importe qui, meme un gamin peut s’amusé avec les failles du site.
    Grace à ses failles, il est trés facile d’avoir les adresse mail et profils des utilisateurs inscrit, la façon faire est le Cross Site Scripting, et puisque tu parlais de xxxxxx, se site est bourré de se type faille quand tu post un script dans leur formulaire, à l’affichage le script se lance.
    ils ont fait d’énormes erreurs de débutant toutes les transactions du site en y incluant la suppréssion d’un compte sont visible, en plus cela est en GET cela permet de connaitre qu’elles sont les variables connu par le site pour lançer une action par la page appelée.
    Une fois logué, une session utilisateur se créer et à se moment là,
    on peut faire du Cross Site Scripting sans probleme, inséré des script dans des POST de formulaire par exemple un script:

    alert(”TOTO”);

    Essayez cela fonctionne, n’oubliez pas de le placé entre 2 balise script .
    Là, sa va c’est un script gentil qui affiche une alert avec le texte “TOTO” inscrit dessus, mais imaginé quelqu’un qui veut mettre plus qu’un simple alert car il y’a aucune transparence dans les transactions du site.
    Il suffit de vous connecté de repérer les URL des lien en affichant la source ou tout simplement en regardant l’URL dans le browser, car comme je vous l’ai ecrit au dessus les actions sont en GET.
    exemple:
    Sur votre compte xxxxxx vous pouvait vous désinscrire, faite un affichage source de la page de désinscription et repérer l’endroit au se trouve le lien de suppression de votre compte, copier le et ensuite aller à l’ajout d’adresse web/blog (un truc comme ça) et la vous placer entre balise :

    location.href=”coller ici”;

    puisque se lien est un lien de désinscription d’accord de l’utilisateur,
    se qui va se passé est que tous les utilisateurs logués sur le site qui
    tomberont sur se POST lancera systemtiquement le script à l’affichage, et hop, l’utilisateur est desinscrit.
    A se niveau là, xxxxxx est un site trés amusant pour faire de cross site scripting.
    Donc si vous voulez vous inscrire à xxxxxx, ne mettez pas, de véritable information dans votre profile.
    Je crois que xxxxxx ne maitrise pas la technology qu’ils utilisent, c’est juste jolie.

    (1): Le nom du site a été rendu anonyme. Ce commentaire a été modifié par l’éditeur du blog pour rester conforme avec la loi. Ce commentaire ne concerne pas le site feedburner mais un autre site.

    Commentaire par NetEcoVerif — 28 mars 2008 @ 11:55

URL de rétrolien

Laisser un commentaire

Complétez le formulaire


Votre commentaire :

*
Pour prouver que vous êtes une personne et non un robot, recopier le mot affiché sur l'image dans la case ci-dessous. Cliquer sur l'image pour entendre une prononciation de ce mot.
Cliquez ici pour entendre le mot à recopier