Une page d'authentification du site sfr.fr autorise un attaquant a y injecter des scripts, des iframe, ... Sur son blog, theSnailSnapper montre comment cette faille pourrait être utilisé pour du phishing :
Hello Dear customers,
blablabla
please put your credit cards data on your Customer Panel.
Regards,
The SFR Team
Le lien, commençant bien par www.sfr.fr, redirige vers le blog du bidouilleur. Imaginez seulement si celui-ci redirigeait vers une copie de cette page d'authentification!
Petit clin d'oeil, il a incrusté dans la page de SFR une petite pub pour un de ses concurrents direct : Orange!
theSnailSnapper a prévenu par mail l'équipe du site le 14 janvier ... aujourd'hui les portes sont encore grandes ouvertes!
3 commentaires:
Faille corrigée
ha non -_- mais le filtre semble avoir été modifié, dsl :)
La redirection de l'article marche toujours en tout cas!
Plus d'un mois de délai ça va pour corriger une faille comme ça ;)
Enregistrer un commentaire