Actualité

 

Faille pour un espace web de la LCL

Publié le 30-04-2012 à 02:29:51 dans le thème Banque

Pays : France - Auteur : Damien Bancal


Pub : Logiciels de sécurité et de protection Internet


Note des lecteurs: 2.5/5

INFO ZATAZ - Une possibilité malveillante vise un espace numérique de la banque LCL. Une possibilité malveillante a été découverte dans l'un espace numérique de la banque Français LCL. Une vulnérabilité de type XSS (Cross-Site Scipting) qui est à prendre très au sérieux. Cette faille permet d'afficher n'importe quel message dans l'espace numérique visé. Un pirate peut aussi d'injecter un logiciel dans la machine d'un visiteur ou de lancer un XSS backdoor. Il faut cependant que le pirate rédige un url particulier, et qu'il diffuse l'adresse modifiée à ses cibles. C’est pour cela que ZATAZ.COM a envoyé un protocole d'alerte à la banque, et vous déconseille fortement de cliquer sur le moindre lien provenant d'une source autre que la LCL. [HaideD 1457]

 

XSS Backdoor
Le cross-site Scripting est un type de faille de sécurité très commun. Il se trouve typiquement dans les applications Web. Mission de cette "attaque", provoquer un comportement du site Web différent de celui désiré par le webmaster (redirection vers un site tiers, vol de cookies ...). Une attaque qui peut aussi permettre d'exploiter une XSS de manière à ce que le cross-site Scripting offre la possibilité d'installer un Shell (comme une injection SQL). Bilan, d'un simple XSS, le pirate se retrouve avec une puissante backdoor (porte cachée, NDLR ZATAZ.COM) et autre gestionnaire de zombie. Ce premier concept a été présenté par XSS-Proxy. Normalement, les attaques XSS ne se font qu'en un coup, avec l'outil XSS+Shell, le pirate peut envoyer une demande interactive. Il obtient ainsi des réponses de la victime. La page exploitée se transforme en backdoor. Le pirate peut voler les authentifications, contourner les restrictions d'IP's dans les panneaux d'administration, lancer des DDoS (Dénis de Services Distribués, NDRL ZATAZ.COM) sur certains systèmes avec une vulnérabilité XSS permanente. Les possibilités d'attaques sont quasiment illimitées.

Avec un XSS 'normal', une fois l'utilisateur hors des champs d'actions de la page "modifiée", le pirate  ne peut plus agir. La principale caractéristique de XSS+Shell est la 'Page Régénération'. Bilan, la victime se retrouve dans un environnement 'Virtuel Backdoor'. Ainsi, même si l'utilisateur clique sur les liens dans la page infectée, il sera toujours sous le contrôle du pirate via ce XSS Tunneling !

Mise à jour : Efficace et rapide, les équipes de la LCL ont pris l'alerte et corrigé la faille.

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Deux ans de prison pour piratage d'écoles

20-05-2013 à 12:46 - 1 commentaire(s)

Après avoir piraté plusieurs universités et un site Internet de la police, un jeune internaute écope de 2 ans de prison ferme.

348Go d'images pédophiles par hasard dans un hd

20-05-2013 à 12:18 - 2 commentaire(s)

Un internaute Français explique au tribunal que les 348Go d'images pédopornographiques sont arrivées chez lui à cause d'un piratage.

Bose piraté, base de données volées

20-05-2013 à 12:01 - 1 commentaire(s)

Le marque de luxe de matériel hi-fi BOSE piratée. Les données clients volées.

Hack de badges Mifare Classic avec son smartphone

20-05-2013 à 09:08 - 1 commentaire(s)

Bidouiller des cartes Mifare via le NFC de votre smartphone, possible, avec NFC Mifare Classic Scanner.

Sur le même thème : Banque

Piratage BitCoin... again !

Nouveaux piratages dans le petit monde de Bitcoin. Cette fois, de l'argent a bien disparu.

L'auteur du cheval de Troie Carberp tombe de selle

Le pirate informatique derrière le cheval de Troie Carberp arrêté. 20 complices aussi ...

Piratage de données bancaires, les arrestations s'enchaînent

Les arrestations chez les pirates Français de données bancaires s'enchaînent... les piratages aussi !

Les sénateurs Français rejettent 3D Secure

Les Sénateurs Français viennent de rejeter un amendement qui devait imposer une sécurité efficace lors des transactions sur Internet.

Actions contre des pirates de données bancaires

Vingt deux personnes arrêtées, ce matin, dans une vaste opération contre des pirates de cartes bancaires.

Piratage d'un site de la Banque Populaire

Un espace de l'entreprise bancaire Banque Populaire piraté. Le pirate installe une page dans l'enceinte numérique bancaire.

Piratage de distributeurs de billets

Plusieurs pirates informatiques arrêtés, à Paris. Ils sont suspectés d'avoir attaqué plusieurs distributeurs de billets de la capitale.

Clavier virtuel bancaire : Faille pour Internet Explorer

Une vulnérabilité permet à un pirate informatique de suivre le curseur de la souris, même si la fenêtre IE est inactive.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 




Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Hack Contest Abidjan


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA