Une faille XSS visible via un simple Whois
Par Korben
Whois vous connaissez ? C’est un service qui permet entre autre de connaitre le propriétaire d’un nom de domaine…
De nombreux sites permettent de consulter la base Whois. Par exemple celui-ci : http://drs.netwiz.net
Ce qu’il y a d’amusant maintenant, c’est que certains de ces sites comportent des failles XSS qui pourraient permettre un piratage… Mais comment « tester» la faille ? Simplement en rajoutant un petit
<script>alert(» Test XSS» )</script>
dans les informations Whois de votre nom de domaine… Un exemple ? Cliquez ici…
Fort non ?
Je vous recommande aussi la lecture des sujets suivants
- La base WHOIS sera peut être bientôt fermée par l’ICANN
- Faille JAR, un premier Proof of Concept vient de sortir
- IE 4 РFirefox 2 ! Vive les failles de s̩curit̩ !
- Installez votre propre serveur OpenID avec PhpmyID
- Vol de mot de passe sous Firefox 2.0.0.5
- 12 applications iPhone pour les admins réseaux
- Un nouvelle faille dans Internet Explorer
- Pieds de poulet
- Passez vos sites dans tous les testeurs et validateurs existants avec Test Everything
- Petite base de données des failles XSS du moment
Et non il n y a plus personne devant les écrans car à force de sortir les...
Belo
Bonjour,
Je ne suis pas sûr de bien comprendre, pourrais-tu nous dire en détail comment tu as fait pour rajouter cette alerte ? Parce que là il s’agit de la page de ton domaine et je suppose que tu as le droit de la modifier. Mais par exemple, est-ce que tu peux faire apparaître cette alerte sur une autre page ?
Oublions cette idée, c’est risqué, lol.
Dis-moi simplement si tu as pu mettre cette alerte sans passer par ton compte.
Posté le 6 janvier 2008 à 18:06:40
admin
J’ai accèdé aux paramètres de mon domaines et j’ai mis la ligne script… Cette ligne est ensuite « executé» par tous les services Whois qui vont lire mes infos registrar
Posté le 6 janvier 2008 à 18:26:03