30% des sites web présenteraient une faille exploitable

16 mars 2011 à 12h00
0
Marco Balduzzi, un chercheur italien spécialisé dans la sécurité Internet, a découvert une faille potentiellement exploitable sur près de 30% des sites Internet sur la Toile.

Nous connaissions les attaques cross-scripting (XSS) qui consistent à injecter un script malveillant au sein du code HTML ou encore les injections SQL, compromettant la base de données d'une application web. Voici désormais une nouvelle menace baptisée HPP (HTTP Parameter Pollution). Dans un papier qui sera présenté demain lors du sommet annuel du Black Hat, regroupant l'ensemble des experts de sécurité, M. Balduzzi explique qu'« une vulnérabilité HPP permet à un hacker d'injecter un paramètre au sein des URL générées par une application web ».

012C000004089882-photo-hpp.jpg
012C000004089884-photo-hpp.jpg

Nature d'un lien de sondage avant et après une attaque


L'attaque consiste à modifier un paramètre précédemment configuré en ajoutant un second disposant d'une dénomination similaire mais d'une valeur différente. Interrogé par le magazine Forbes, Marco Balduzzi déclare ainsi : « vous pouvez changer la valeur écrite au sein d'une application et lui demander d'opérer une action qu'elle n'est pas censée faire ». Le spécialiste ajoute que les conséquences de cette attaque sont étroitement liées au fonctionnement du service web ciblé. « Si vous contrôlez les paramètres vous pouvez faire n'importe quoi », ajoute-t-il.

Google, Facebook, Paypal, Microsoft mais aussi Symantec présenteraient des pages web vulnérables à cette attaque et ont été avertis par le spécialiste. En publiant son rapport (PDF), ce dernier souhaite alerter la communauté. Les vulnérabilités HPP ont été découvertes il y a deux ans et pourraient donc être exploitées à grande échelle.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

VOD en 3D : Samsung achalande tant bien que mal avec son propre service
IBM ouvre un nouveau centre d'innovation au Mexique
Actrice X repentie : Google condamné à désindexer des données de son moteur
Des écrivains chinois accusent Baidu d'infraction au droit d'auteur
Google met à jour son application iPhone
Microsoft dément (en quelque sorte) la mort de Zune
Twitter ajoute une dose de sécurité en https
Le service Blogger fera peau neuve cette année
Roxio Game Capture : enregistrez vos parties en vidéo
AKG GHS-1 : un casque pour joueurs chez Harman
Haut de page