Une faille exploitable sur 30% des sites

Aujourd’hui, lors du sommet annuel du Black Hat regroupant l’ensemble des experts de sécurité, l’Italien Marco Balduzzi présentera les résultats de son étude. Il annoncera ses découvertes concernant une nouvelle menace baptisée HPP (HTTP Parameter Pollution), qui « permet à un hacker d’injecter un paramètre au sein des URL générées par une application Web ».

L’attaque consiste à modifier un paramètre en ajoutant un second paramètre disposant d’une dénomination similaire mais d’une valeur différente. Il déclare au magazine Forbes que « vous pouvez changer la valeur écrite au sein d’une application et lui demander d’opérer une action qu’elle n’est pas censée faire. Si vous contrôlez les paramètres vous pouvez faire n’importe quoi ». Les conséquences de cette attaque sont étroitement liées au fonctionnement du service Web ciblé.

Ainsi, 30% des sites Internet sur la Toile abriteraient cette faille potentiellement exploitable. C’est le cas des sites de Google, Facebook, Paypal, Microsoft mais également Symantec, qui présenteraient des pages vulnérables à cette attaque et ont été avertis par le spécialiste. Les vulnérabilités HPP ont été découvertes il y a 2 ans et pourraient donc être exploitées à grande échelle.

Partager : Facebook Twitter Plusone

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*