[Contribution] RXSS sur L’Équipe.fr – Le site d’information sportive
Lequipe.fr est un site sportif français à forte audience (environs 60 millions de visites par mois). Il y a quelques temps, un Consultant Sécurité de chez Synetis, sportif qui plus est, a décelé une vulnérabilité de type Reflected Cross-Site Scripting (RXSS) sur le domaine principal lequipe.fr. Elle se situait dans un des paramètres GET de l’URL du formulaire de recherche.
Via ce type de vulnérabilité, un attaquant peut corrompre le rendu des pages pour les visiteurs victimes, capturer des données personnelles (cookie, phishing, hijacking de session), ou encore impacter les machines des visiteurs à l’aide de frameworks dédiés tel que BeEF.
Illustration d’une altération / corruption du rendu des pages d’un site vulnérable à une XSS (faux-défacement uniquement local non-intrusif) :
Il est important de rappeler que le « pentest » est une étude/analyse différente de « l’audit ». Le « pentest sauvage intrusif » est un acte puni par la loi comme atteinte aux systèmes de traitement automatisé de données (Article 323).
Audit & Pentest
- Audit : Test complet d’une infrastructure, étude globale d’un système donné, à la fois technique et organisationnelle, permettant d’apprécier la sécurité de façon globale, devant déboucher sur une politique de sécurité.
- Pentest : Test, tentative de pénétration d’un système à la façon d’un attaquant, limité dans le temps et dans l’espace.
Dans le cadre de leurs activités quotidiennes, les Consultants de SYNETIS peuvent être amenés à déceler des vulnérabilités aussi bien :
- Au travers de leurs missions d’audit des SI de nos clients ;
- Au sein des produits des éditeurs partenaires, avec la volonté d’améliorer constamment la sécurité des solutions proposées aux clients ;
- Sur des projets communautaires, notamment opensource, tels ceux dont nous vous relayions les informations ;
- Sur des sites internationaux de grande renommée, afin d’apporter une petite pierre à l’édifice de la sécurité globale de l’Internet.
- Dès que des vulnérabilités sont détectées, des mesures de préventions, de sensibilisation et de corrections sont proposées par nos consultants aux équipes techniques, communautaires ou de support pour combler les brèches au mieux.
Les équipes techniques du site L’Équipe.fr ont immédiatement été averties par le Consultant, en tant qu’adepte et fidèle lecteur de cette plateforme d’information sportive, il était d’intérêt de les avertir de cette brèche pour qu’une correction soit apportée rapidement. Après une réponse très rapide et des remerciement de ces équipes, la vulnérabilité a finalement été comblée. Nous saluons leur courtoisie et réactivité !
Pour plus d’information quant à l’analyse de vulnérabilités, l’audit de système (boite-blanche, boite-noire) et l’évaluation globale de la sécurité de votre SI, n’hésitez pas à nous contacter.
Sources & ressources :
Vincent
Consultant sécurité
[:en]Lequipe.fr est site sportif français à forte audience (environs 60 millions de visites par mois). Il y a quelques temps, un consultant sécurité de chez Synetis a décelé une faille de type RXSS sur le domaine lequipe.fr.
Via ce type de vulnérabilité, un attaquant peut corrompre le rendu des pages pour les visiteurs victimes, capturer des données personnelles (cookie, phishing, hijacking de session), ou encore impacter les machines des visiteurs à l’aide de framework dédié tel que BeEF.
Il est important de rappeler que le « pentest » est une étude/analyse différente de « l’audit ». Le « pentest sauvage » est un acte puni par la loi comme atteinte aux systèmes de traitement automatisé de données (Article 323).
Audit : Test complet d’une infrastructure, étude globale d’un système donné, à la fois technique et organisationnelle, permettant d’apprécier la sécurité de façon globale, devant déboucher sur une politique de sécurité.
Pentest : Test, tentative de pénétration d’un système à la façon d’un attaquant, limité dans le temps et dans l’espace.
Dans le cadre de leurs activités quotidiennes, les consultants de SYNETIS peuvent être amenés à déceler des vulnérabilités aussi bien :
Au travers de leurs missions d’audit des SI de nos clients ;
Au sein des produits des éditeurs partenaires, avec la volonté d’améliorer constamment la sécurité des solutions proposées aux clients ;
Sur des projets communautaires, notamment opensource, tels ceux dont nous vous relayions les informations ;
Sur des sites internationaux de grande renommée, afin d’apporter une petite pierre à l’édifice de la sécurité globale de l’Internet.
Dès que des vulnérabilités sont détectées, des mesures de préventions, de sensibilisation et de corrections sont proposées par nos consultants aux équipes techniques, communautaires ou de support pour combler les brèches au mieux.
Pour plus d’information quant à l’analyse de vulnérabilités, l’audit de système (boite-blanche, boite-noire) et l’évaluation globale de la sécurité de votre SI, n’hésitez pas à nous contacter.[:]