Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Faille sur Youtube de type XSS

L’hacktiviste Sl1nk, un hacker qui fait courir le FBI depuis des mois (en interview dans l’émission de janvier de zatazweb.tv), nous a communiqué un 0day dont il a le secret. Il nous a fait constater une faille de type XSS, un Cross-Site Scripting, sur le portail vidéo Youtube. Pour rappel, un Cross-site Scripting (XSS) permet d’afficher n’importe quel message dans l’espace numérique visé (Comme dans notre capture écran, NDLR ZATAZ.COM). Un pirate peut aussi injecter un logiciel (trojan, virus...) dans la machine d’un visiteur ; ou de jouer avec un XSS backdoor (le pc ainsi infiltré se transforme en zombie, aux ordres du pirate, ndlr zataz.com). Voler le cookies de connexion et prendre la main sur le compte d’un internaute ainsi piège. Comme le cas de la semaine dernière, corrigé par Yahoo !

Il faut cependant que le pirate formule un url particulier, qu’il diffusera ensuite à ses cibles, via un courriel, un message sur un forum, un post, sur Facebook, Twitter... A noter que l’espace dev.google.com souffre, lui aussi, d’un 0day découvert par l’hacktiviste.

Surce zataz.com