Faille XSS : des sites font le Harlem Shake

Le par Jérôme G.  |  1 commentaire(s)
Harlem-Shake-Google

De petits plaisantins ont exploité une vulnérabilité Cross-Site Scripting pour faire bouger des sites au rythme du Harlem Shake.

Le Harlem Shake n'est pas mort ! The Register rapporte les exemples des sites Who.is et MxToolbox qui ont été secoués par le mème de 2013. La raison est une exploitation d'une faille XSS par des plaisantins.

En l'occurrence, elle existe au niveau des enregistrements TXT qui sont des enregistrements DNS permettant de fournir des informations sous la forme de texte à des sources extérieures au domaine d'un site.

The Register précise bien que la faille n'affecte pas le protocole DNS lui-même, et ce sont des balises script et iframe dans les enregistrements TXT qui sont chargées par Who.is et MxToolbox lors d'un DNS lookup.

Alors que Who.is a corrigé la faille XSS, MxToolbox demeure pour le moment vulnérable au Harlem Shake. Des internautes ont immortalisé l'exploitation en réalisant des captures vidéo :

  

  

On notera par ailleurs au passage que sur YouTube, l'easter egg avec la requête " do the harlem shake " est toujours fonctionnel.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Lebubu offline Hors ligne Vénéré icone 3116 points
Le #1809905
ça c'est géant, les "White hat" existe encore.
icone Suivre les commentaires
Poster un commentaire