StayGeek Just code it.

4juil/102

Une faille XSS dans youtube

Incroyable, aujourd'hui une faille XSS (Exécution de javascript par exemple) a été découverte dans les commentaires de youtube.

En effet, dans les commentaires de youtube, il semblerait que l'échappement des caractères spéciaux soit un peu ... foireux.

Si on écrit <script> dans le commentaire, la prochaine balise ne sera pas échappée ...

C'est très dangereux car du coup, une personne mal intentionnée pourrait voler les sessions de toutes les personnes visionnant les commentaires d'une vidéo, vu le trafic de youtube, les dégâts seraient immenses .

Sans parler du fait de faire exécuter du code malicieux, qui sur certains vieux navigateurs peuvent permettre d'installer virus et autres joyeusetés ...

C'est tout de même très étrange dans un site d'une telle ampleur de voir ce genre de failles qui est très facile à éviter.

À l'heure actuelle, la faille semble en correction bien que les commentaires exploitant cette faille marchent toujours

Edit : La faille est corrigée

Facebook Twitter Email

11 comments on “Une faille XSS dans youtube

  1. Il y en a[vait] une sur Facebook aussi, dans la page de recherche de causes il me semble ^^

  2. Surement, mais c’est une application externe il me semble, quoi qu’il en soit, c’est super dangereux pour le visiteur lambda …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

(required)


8 − = quatre

25 363Commentaires spam bloqué jusqu'à présent parSpam Free Wordpress

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>