Des hackers exploitent les commentaires de YouTube par injection HTML, les failles XSS sont-elles trop sous-estimées par les webmasters ?
Des hackers ont trouvé plusieurs failles sur YouTube qu'ils se sont empressé d'exploiter ce week end. Les vulnérabilités touchent le système de commentaires du site de diffusion de vidéos.
Ils ont procédé via des injections HTML. En fait, en inscrivant un commentaire contenant du javascript après le tag <script>, il s'avère que YouTube supprimait le tag <script>, mais sans effacer les données qui le suivent. Au contraire, elles étaient mises en avant et affichées à l'écran. Grâce à cela, les hackers ont pu injecter du HTML directement dans la page visionnée, allant jusqu'à la modifier entièrement. Cette brèche ouvre la porte à de nombreuses attaques potentielles.
Dans le cas présent, c'est resté bon enfant : ouverture de pop ups, affichage de bannières et de messages ("Google can't code, YouTube hacked!", écran noir.
Ces apparitions ont eu lieu ce dimanche 4 juillet entre 13h et 15h.
Pour l'anecdote, les pages les plus visées étaient celles consacrées au chanteur pour adolescents Justin Bieber. Les internautes voulant regarder ses vidéos étaient par exemple redirigés vers de faux sites annonçant sa mort.
Cet acharnement était originaire du forum 4chan qui s'est lancé dans une véritable croisade contre le jeune homme (qu'ils essaient d'envoyer faire un concert en Corée du Nord en truquant un vote).
S'étant arrêté au mauvais goût, les conséquences de cette vulnérabilité auraient pourtant pu être des attaques plus sérieuses touchant des millions d'ordinateurs.
Les webmasters ont parfois tendance à sous-estimer la faille XSS, qui présente pourtant de dangereux risques. En redirigeant un utilisateur sur une page extérieure au site, on pourrait tout aussi bien lui faire télécharger des malwares et autres logiciels malveillants. Les pirates auraient aussi pu rediriger les internautes vers de fausses pages YouTube pour une large campagne de phishing.
Le problème est en tous les cas réglé. YouTube a réagit au quart de tour et en seulement quelques heures, l'HTML a été géré correctement dans les commentaires.
Source : Un résumé de l'attaque fait par un "pirate" ; des explications du support de Google
Les Web Application Filters n'ont pas su détecter cet incident. Comment s'en protéger efficacement ?
Les webmasters sous-estiment-ils trop les failles de type XSS ? Sont-elles vraiment inoffensives ?
Des hackers exploitent les commentaires de YouTube par injection HTML
Les failles XSS sont-elles sous-estimées par les webmasters ?
Des hackers exploitent les commentaires de YouTube par injection HTML
Les failles XSS sont-elles sous-estimées par les webmasters ?
Le , par Katleen Erna
Une erreur dans cette actualité ? Signalez-nous-la !