Avec App Maker, Google propose des outils pour faciliter la réalisation rapide d'applications personnalisées pour les métiers dans les entreprises.

L'Image du jour

Avec App Maker, Google propose des outils pour faciliter la réalisation rapide d'applications personnalisées pour les métiers dans les entreprises.

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

Une vulnérabilité transforme eBay en site de phishing

Le message qui apparaît dans la boutique de l'agresseur sur le site eBay incite l'utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise. (crédit : D.R.)

Le message qui apparaît dans la boutique de l'agresseur sur le site eBay incite l'utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise. (crédit : D.R.)

Découverte par Check Point, une vulnérabilité du site de vente en ligne d'eBay permet à des cybercriminels d'exécuter du code Javascript malveillant à distance et de diffuser des campagnes de phishing et des malwares. Alerté par l'éditeur de solutions de sécurité depuis décembre dernier, eBay n'a, à ce jour,toujours pas corrigé son code.

eBay et les pirates, c'est presque devenu une histoire d'amour. Il faut dire qu'avec un vivier de 150 millions d'utilisateurs et autant de comptes clients à dérober ou à cibler par des attaques malveillantes, la tentation est grande pour les cyberpirates de mettre à exécution toutes les actions possibles pour parvenir à leurs fins comme cela avait été le cas en 2014. Ces derniers pourraient d'ailleurs saisir l'occasion de la découverte d'une dernière grosse vulnérabilité par les chercheurs en sécurité de Check Point pour partir une nouvelle fois à l'assaut du géant du commerce en ligne.

« Cette vulnérabilité permet à un agresseur de contourner la validation de code d'eBay et de contrôler le code vulnérable à distance pour exécuter du code Javascript malveillant auprès d'utilisateurs ciblés », explique Check Point dans un communiqué. « Sans correction de cette faille, les clients d'eBay continueront d'être potentiellement exposés à des attaque sde phishing et de vol de données. »

Une technique pour charger du code Javascript malveillant

Après avoir découvert cette vulnérabilité en fin d'année dernière, l'éditeur israélien a pris soin d'alerter eBay le 15 décembre dernier de son existence qui ne l'a toutefois pas à ce jour comblée. « A l'aide d'une technique non standard appelée JSF**k, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d'un article dans les détails de sa boutique. Le site d'e-commerce empêche les utilisateurs d'inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l'agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d'insérer du JavaScript qu'il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent », explique Check Point. « eBay n'effectue qu'une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères. »

Article de

COMMENTAIRES de l'ARTICLE1

le 10/02/2016 à 23h29 par Visiteur7954 :

Je n'ai rien compris !!!

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
28 Mars 1988 n°317
Publicité
Publicité