Faille XSS : des sites font le Harlem Shake

Le par  |  1 commentaire(s)
Harlem-Shake-Google

De petits plaisantins ont exploité une vulnérabilité Cross-Site Scripting pour faire bouger des sites au rythme du Harlem Shake.

Le Harlem Shake n'est pas mort ! The Register rapporte les exemples des sites Who.is et MxToolbox qui ont été secoués par le mème de 2013. La raison est une exploitation d'une faille XSS par des plaisantins.

En l'occurrence, elle existe au niveau des enregistrements TXT qui sont des enregistrements DNS permettant de fournir des informations sous la forme de texte à des sources extérieures au domaine d'un site.

The Register précise bien que la faille n'affecte pas le protocole DNS lui-même, et ce sont des balises script et iframe dans les enregistrements TXT qui sont chargées par Who.is et MxToolbox lors d'un DNS lookup.

Alors que Who.is a corrigé la faille XSS, MxToolbox demeure pour le moment vulnérable au Harlem Shake. Des internautes ont immortalisé l'exploitation en réalisant des captures vidéo :

  

  

On notera par ailleurs au passage que sur YouTube, l'easter egg avec la requête " do the harlem shake " est toujours fonctionnel.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1809905
ça c'est géant, les "White hat" existe encore.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]