YouTube victime d'une attaque par cross scripting

05 juillet 2010 à 09h31
0
Ce weekend, la plateforme communautaire YouTube a été victime d'une attaque par cross scripting (XSS). Cette méthode consiste à injecter du code malveillant directement au sein d'une page web. Les hackers ont ainsi réussi à contourner les restrictions de sécurité du formulaire de commentaires sur plusieurs vidéos du jeune chanteur américain Justin Bieber.

Plus précisément, les hackers - certains faisant partie de la communauté 4Chan - ont exploité une faille qui consiste à placer une balise < script > en début de code pour que les balises suivantes soient correctement interprétées. Le blog TheNextWeb rapporte les propos d'un porte-parole de Google qui explique : « Nous avons entrepris des actions rapides pour corriger cette vulnérabilité XSS sur Youtube.com (...) Pendant une heure, les commentaires ont été masqués par défaut puis nous avons publié un correctif deux heures plus tard ».

Voici ci-dessous une vidéo de démonstration mise en place par le blog InSecurity Romania:

Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

NVIDIA en discussion avancée pour le rachat d'ARM pour au moins 32 milliards
Enfin des nouvelles de Squadron 42, le mode solo de Star Citizen ?
Renault annonce une perte record de près de 7,3 milliards d'euros
Elon Musk veut fournir des logiciels, des batteries et des moteurs à d'autres constructeurs
Pour Windows Defender, CCleaner est une app indésirable
Rocambole : l'application est enfin de retour sur le Google Play Store !
La première station de recharge à hydrogène ferroviaire annoncée en Allemagne
L'électricité produite en Europe au premier semestre provenait majoritairement d'énergies renouvelables
Windows : le bug de recherche dans l'Explorateur bientôt réglé... Huit mois après
Freebox Pop : la fibre, l'expérience TV et le répéteur Wi-Fi à l'honneur de la campagne d'affichage de la box
scroll top