[XSS] Comment éviter de se faire avoir bêtement

 

surveillance-jumelle

 

Salut à tous,

 

Comme beaucoup le savent, je suis dans pas mal de groupe Facebook traitant de sujet de développement, d'administration système, de sécu, ....

Bref je m’intéresse un peu à ce qu'il se passe ^^

 

Et ça tombe bien !

Car mon ami Jérôme  a publié ce lien :
Une faille dans le plug-in Jetpack expose 1 million de sites WordPress

 

Bon ... 1 millions, ce n'est pas grand-chose ...
Je vous rassure, sur le nombre de WordPress actuellement en ligne, c'est peanuts.

 

D'autant que ça ne concerne que :

  • Ceux qui ont installé (ou n'ont pas désinstallé  ;) ) le plugin JetPack

 

Capture

 

 

Aussi, la faille n'est pas associée au CMS, mais au plugin.
Désinstallez le ou mettez-le à jour et hop, théoriquement vous êtes en sécurité ^^

 

Cette faille serait, d'après cet article de nature "XSS", et une "XSS" permanente.
Pour rappel, la vulnérabilité XSS permet d'injecter du code dans une page.

Aussi, par exemple, un vilain petit hacker, pourrait très bien l'utiliser pour dérober la session d'un utilisateur, et s'authentifier comme si c'était ce même utilisateur, sans mot de passe.

 

Si vous pensez être concernés par cette faille ...
Ne vous rendez pas bêtement sur votre CMS ...

 

Si votre session n'a pas expiré, le petit script kiddies, caché derrière un masque à moustache, va vous avoir ...

 

138702626951

 

Utilisez une "navigation privé" ...

 

La plupart des navigateurs le permettent.
Cette navigation, vous assure une navigation vierge, du coup vous pourrez vous connecter sur votre CMS , sans session en cours d'utilisation, et patcher ensuite le problème de sécurité qui vous concerne..

 

Petit conseil, ne mettez pas votre formulaire de connexion, sur la même page qu'un contenu potentiellement piratable ...
Une faille XSS permettrait tout simplement, en cas d'absence / non détéction de cookies, de mettre "sur écoute" (addListener) votre formulaire de login.
Ce qui donnerait au Hacker, vos identifiants, dès lors que vous les aurez saisi :/

 

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *