Sybelline
Fondatrice
 |  Sujet: Attention aux liens Google  Mar 6 Oct - 23:50 | |
| | Citation: | Un internaute Français découvre comment bypasser l´avertissement de redirection mis en place par Google.
Il se nomme Xylitol, un internaute Français qui avait déjà fait parler de lui, voilà quelques mois, au sujet d'un problème de sécurité XSS visant Google et Facebook.
Voici que le hacker a trouvé une nouvelle vulnérabilité pour le moteur de recherche américain. L'informaticien bidouilleur explique à la rédaction de ZATAZ.COM qu'il est possible de "bypasser l'avertissement de redirection". Comprenez qu'il devient facile d'exploiter un lien Google, et sa redirection, sans qu'aucun avertissement ne puisse vous prévenir du fait que vous quittiez un espace officiel Google, comme Gmail par exemple.
Après avoir alerté la firme de l'Oncle Sam, une réponse est parvenue à Xylitol. "J'ai découvert cette faille il y a environ six mois, indique Xylitol à ZATAZ.COM, J'ai envoyé un mail à Google il y a une semaine, je viens de recevoir une réponse comme quoi il n'allait pas corriger la vulnérabilité qui leur semble anodine".
A ces mots, le hacker ne se sentit pas de joie, il ouvrit un large bec mais n'avait pas l'intention de lâcher sa proie. Bilan, il vient de diffuser l'exploit de sa découverte, sous forme d'un code source PHP. Une framework et un lien malicieux plus tard et on découvre que la vulnérabilité pourrait causer de vrais dégâts. Un phisheurs par exemple, amateur d'hameçonnage pourrait créer une fausse page d'administration gMail. "On n'a pas besoin d'un long discourt, indique Xylitol à ZATAZ.COM, Un lien malicieux suffit pour voler n'importe quelle compte gMail ou piéger n'importe qui. Il y a même la possibilité d'aller plus loin suivant le navigateur et ça version, et ça en deux minute suivant l'utilisateur lambda piégé. J'ai trouvé la réponse de Google très étonnante."
Avec un ami internaute, p3lo, une démonstration vidéo a été réalisée. Avec un peu de chance, la Google Security Team va peut-être changer d'avis... ou pas ! |
http://www.zataz.com/news/19552/bypass-google-url-redirection.html
BONNE NOUVELLE
| Citation: | Google met enfin en place ses nouveaux mécanismes de protection pour limiter les risques liés au Web 2.0. Il faut dire que les services Google (GMail, YouTube, ...) n'étaient pas, depuis plusieurs années, sécurisés correctement.
En septembre 2007, un document publié sur GNUCITIZEN, For my next trick… hacking Web2.0 commençait déjà à titiller la bête. Quelques semaines plus tard, l'article Google GMail E-mail Hijack Technique allait motiver les plus réticents à ces techniques, qui étaient considérées à l'époque, comme des attaques dépourvues d'intérêts.
D'autres articles, techniques et preuves de faisabilités viendront étoffer le sujet, notamment ceux de Jeremiah Grossman et Billy Rios, ... Chez Mozilla, on prends les choses très au sérieux, à tel point qu'il a été décidé de rédiger les spécifications du CSP Content Security Policy. Les webmestres pourront entretenir la liste des domaines qui seront autorisés par le navigateur de leurs visiteurs. Les premiers essais ont commencés, des béta-testeurs évaluent actuellement l'implémentation de ces fonctions.
Enfin, côté utilisateur, sachez qu'il est possible de prévenir ce type d'attaques. Giorgio Maone, l'auteur de l'excellente extension NoScript pour Firefox a incorporé un module nommé ABE pour Application Boundaries Enforcer. Seul bémol pour l'instant, la configuration reste encore assez trouble pour l'utilisateur . |
|
|
Le Site 
Portail 
Accueil 
Calendrier 
FAQ 
Rechercher 
S'enregistrer 
Membres 
Groupes 
Connexion 
Calendrier
Muguette 2003, maman de Lucie née le 5 mai 2003
