Reportage
eBay en danger !
Publié le 09-09-2006 dans le thème Réseau - Sécurité
Pays : International - Auteur : Damien Bancal
Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux
On ne vous cache pas que des failles, des exploits, des 0Days nous en voyons passer beaucoup à la rédaction. Mais la découverte réalisée par Daftrix, un white hat marocain, traduisez un hacker qui souhaite aider, nous a carrément laissé sur le "truc" qui nous sert de fessier.
Plusieurs failles permettent d'intercepter les cookies des membres de eBay. Plus grave, à partir des informations contenues dans les cookies, un pirate peut se faire passer pour le propriétaire légitime du cookies, donc du compte du client, dans la mesure ou ce dernier est toujours connecté. Autant dire qu'il devient rapidement un jeu d'enfant pour usurper la victime, se faire passer pour elle, utiliser son compte, passer des enchères, voir acheter.
Nous n'expliquerons pas la méthode, mais nous ne pouvons que vous conseiller de NE CLIQUER sur AUCUN lien se disant vous renvoyer vers eBay. Un simple code PHP et un Javascript, le tout encapsulé dans du code anodin caché sur un site web, nous a permis de nous rendre compte du problème. Le tout à cause d'un simple XSS (Cross Site Scripting). "Pour le moment, explique Daftrix, le mieux est de taper l'adresse, directement dans son navigateur. Ne valider aucun lien par mel, sur un site web étranger ou par MSN".
EBay a été contacté. Pour le moment aucune réponse ne nous est parvenue. L'ensemble des filiales de eBay sont touchées par ce "bug" que nous pouvons qualifier de TRES dangereux. (Merci à Dounia)
# Liens connexes
En savoir plus
En savoir plus
Derniers contenus
Attaque informatique massive
Près de 100 000 sites légitimes ont été touchés par l´une des plus importante attaque de cyber criminels. 1 000 serveurs concernés en France dont Tf1, Bouugues Telecom, ...
Attaque avortée à l´encontre des clients d´OVH
Les clients de l´hébergeur OVH ciblée par une attaque de type phishing. Un hameçonnage qui a rapidement pris l´eau.
Les logiciels de chiffrement de Prim´X passent au 64BITS
La suite de chiffrement de l´éditeur est compatible avec les plates formes 64 bits et Windows Server 2008.
Carte bancaire et casinos aux couleurs de M6
Après les banques, les supermarchés, les sociétés de crédits... voici que la chaîne de télévision M6 se lance dans la carte de paiement.
Faille pour Facebook
Exclusif - une faille de redirection peut permettre à un pirate de voler n'importe quel accès à Facebook.
LORD BRITISH va tater des étoiles
Richard Garriott, créateur de la saga vidéo ludique Ultima, va s'envoyer en l'air à la fin du mois d'octobre. Encouragez le.
Mot de passe Yahoo libre comme l'air
Les mots de passe utilisés pour lire ses e-mails via Yahoo sont interceptables en deux coups de cuilleres à pot.
Neosploit is not dead
Découverte : Neosploit n´a pas disparu. Démonstration d´une stratégie astucieuse avec la mise en place de Neosploit 3.1
Sur le même thème : Réseau - Sécurité
Faille pour Facebook
Exclusif - une faille de redirection peut permettre à un pirate de voler n'importe quel accès à Facebook.
Mot de passe Yahoo libre comme l'air
Les mots de passe utilisés pour lire ses e-mails via Yahoo sont interceptables en deux coups de cuilleres à pot.
Télécharger Windows 7 transformation pack
Comme pour Windows Vista, avant sa sortie, Windows Seven a eu droit a son premier transformation pack. Explication, démonstration et téléchargement.
Assises de la Sécurité 2008
RSA place la protection des données et la sécurité comme facteur d´innovation au coeur des Assises de la Sécurité 2008.
Aladdin eToken PRO USB
China Finance Online va déployer les dispositifs à carte à puce Aladdin eToken PRO USB pour ses principaux clients.
Clickjacking, la faille que les pirates attendaient
Une faille visant l´ensemble des navigateurs Internet permettrait de cliquer sur n´importe quoi sans l´accord de l´utilisateur du butineur.
Vidéo à la demande bugguée pour Amazon
Amazon.com propose de visionner des films via son service streaming de vidéo à la demande. Un bug dans Flash Player permet de copier les oeuvres sur son disque dur.
Windows 7 pour octobre. Oui mais ...
Microsoft vient d'annoncer qu'il mettrait à disposition une premiére version de Windows Seven. Une pré-bêta à prendre avec des bêtas pincettes.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
- Attaque informatique massive
- Télécharger Windows 7 transformation pack
- Neosploit is not dead
- Mot de passe Yahoo libre comme l'air
- Faille pour Facebook
- Un appareil photo du Mi6 vendu sur eBay
- Attaque avortée à l´encontre des clients d´OV...
- Clickjacking, la faille que les pirates atten...
- Pirate radiophonique: des jingles insultants ...
- Gagner de l´argent en mettant des fichiers en...
- Microsoft prépare un "Windows Cloud&qu...
- Le Zune porté sur Windows Mobile
- La faille de sécurité touchant MessengerFX se...
- Fanart - Yves “The Bourgyman” Bourgelas
- Ubuntu 8.10 - Déjà la première bêta !
- Realiser un collage avec Picnik
- Masse oeil USB
- Microsoft partage sa vision de la publicité e...
- Une souris en forme de grenade
- Flickr lance un concours de photos sur le the...
- Sécurité De Site Web
- Faille Facebook
- [annonce] Développeur Xhtml - Css - Php & Mysql à Votre Service
- Présentation: Godfree
- Bonjour
- Avast Détecte Un Script Suspect Sur Hzv
- Video Fingerprint
- Accès Internet Ne Marche Plus ?
- Recherche Développeur Programmeur C++ Senior
- Quelqu'un Se Connecte à Ma Messagerie, Je Voudrais Comprendre.
- Pb Mise à Jour Xppro Sp3
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
- Victime de fraude en ligne ? Comment agir !
- Entreprise, prudence
Derniers communiqués de presse
Les logiciels de chiffrement de Prim´X passent au 64BITS
La suite de chiffrement de l´éditeur est compatible avec les plates formes 64 bits et Windows Server 2008.
LORD BRITISH va tater des étoiles
Richard Garriott, créateur de la saga vidéo ludique Ultima, va s'envoyer en l'air à la fin du mois d'octobre. Encouragez le.
Lutte contre le spam, la CNIL montre les dents
Dans le cadre de son partenariat avec l´association SIGNAL SPAM, la CNIL a lancé en septembre 2008 une série de contrôles auprès d´entreprises dont les courriers électroniques ont été signalés comme pourriels.
HD Film Festival: la haute définition fait la fête
L´appel à films de l´édition 2008 du HD Film Festival vient de se clôturer donnant lieu à un premier bilan encourageant.
Stars-buzz.com
La tête de Mickey mise à prix
Un ecclésiastique égyptien a déclaré que les souris étaient “des agents de Satan” et devraient être exterminées. Mickey dans la ligne de mire ! Le Cheikh Mohammed al-Mounajid, un ecclésiastique égyptien, ancien diplomate, a déclaré que les souris étaient “des agents de Satan” et devraient être exterminées. Bilan, Walt Disney a rendu Mickey, la souris sympathique, il faut tuer Mickey [...]
Octobre: Calendrier Aubade
Il faut vivre avec son temps, et le temps, ça tombe bien, on aime quand celui-ci veut bien s’arrêter un peu. La page du mois d’octobre du calendrier Aubade va nous y aider. [Voir les autres mois ?]
Luc Besson va faire danser Travolta
John Travolta va tourner un film pour la maison de production de Luc Besson, Europa Corp. Une production baptisée From Paris with love.Bilan, John va pouvoir rendre une petite visite à ses amis de la secte de Scientologie de Paris, il va tourner à Montfermeil en banlieue parisienne. John Travolta va interpreter le rôle phare [...]
Le prochain Britney Spears déjà sur Internet
Le prochain Single de Britney Spears vient d’être diffusé sur Internet. Womanizer à écouter sur STARS-BUZZ.COMUn extrait de 40 secondes diffusé par une radio américaine. Un son pourri mais le titre s’annonce prometteur. Baptisé “Womanizer”, le single a été, a premiére vue, récupérer à partir d’un téléphone portable. Britney Spears a fait savoir que cette [...]
