Une faille XSS visible via un simple Whois
Par Korben le 31 décembre 2007
Whois vous connaissez ? C’est un service qui permet entre autre de connaitre le propriétaire d’un nom de domaine…
De nombreux sites permettent de consulter la base Whois. Par exemple celui-ci : http://drs.netwiz.net
Ce qu’il y a d’amusant maintenant, c’est que certains de ces sites comportent des failles XSS qui pourraient permettre un piratage… Mais comment “tester” la faille ? Simplement en rajoutant un petit
<script>alert(”Test XSS”)</script>
dans les informations Whois de votre nom de domaine… Un exemple ? Cliquez ici…
Fort non ?
Je vous recommande aussi la lecture des sujets suivants
- La base WHOIS sera peut être bientôt fermée par l’ICANN
- Faille JAR, un premier Proof of Concept vient de sortir
- IE 4 - Firefox 2 ! Vive les failles de sécurité !
- Vol de mot de passe sous Firefox 2.0.0.5
- Passez vos sites dans tous les testeurs et validateurs existants avec Test Everything
Belo
Bonjour,
Je ne suis pas sûr de bien comprendre, pourrais-tu nous dire en détail comment tu as fait pour rajouter cette alerte ? Parce que là il s’agit de la page de ton domaine et je suppose que tu as le droit de la modifier. Mais par exemple, est-ce que tu peux faire apparaître cette alerte sur une autre page ?
Oublions cette idée, c’est risqué, lol.
Dis-moi simplement si tu as pu mettre cette alerte sans passer par ton compte.
Posté le 6 janvier 2008 à 18:06:40
admin
J’ai accèdé aux paramètres de mon domaines et j’ai mis la ligne script… Cette ligne est ensuite “executé” par tous les services Whois qui vont lire mes infos registrar
Posté le 6 janvier 2008 à 18:26:03