Non l'auteur de cette découverte n'est pas un roumain, comme nous en avions l'habitude ces dernières semaines, mais un français du pseudo de 599eme Man.
Les lecteurs facebookiens ont sans doute déjà répondu à un de ces quizz stupides" Quelle est ta mention au bac "LA CITE DE LA PEUR" ?", "Quel personnage du N.C.I.S êtes-vous ?" ou encore "Vous êtes la réincarnation de quel personnage célèbre ?".
L'avantage de ces quizz est que leur création est à la portée du premier gosse de 5 ans venu. L'éditeur qui héberge ce système de questionnaire est Quizz Monster.
Et ce que 599eme Man a découvert est une vulnérabilité commune à tous les quizz "Quiss Monster", qui permet de rediriger un utilisateur de Faacebook vers un site externe. Dans son post expliquant la vulnérabilité, il indique que le paramètre vulnérable est la variable next qui permet de passer d'une page du quizz à l'autre :
http://apps.facebook.com/[le nom du quizz]/?next=[URL de redirection]Par exemple copiez/collez cette adresse dans votre navigateur, http://apps.facebook.com/quelhamburgerdem/?next=%68%74%74%70%3A%2F%2F%6E%65%77%73%2D%6F%66%2D%73%65%63%75%72%69%74%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D
Vous serez redirigé vers news-of-security.blogspot.com. Voici la video Proof Of Concept de 599eme Man :
0 commentaires:
Enregistrer un commentaire