Incroyable, aujourd’hui une faille XSS (Exécution de javascript par exemple) a été découverte dans les commentaires de youtube.
En effet, dans les commentaires de youtube, il semblerait que l’échappement des caractères spéciaux soit un peu … foireux.
Si on écrit <script> dans le commentaire, la prochaine balise ne sera pas échappée …
C’est très dangereux car du coup, une personne mal intentionnée pourrait voler les sessions de toutes les personnes visionnant les commentaires d’une vidéo, vu le trafic de youtube, les dégâts seraient immenses .
Sans parler du fait de faire exécuter du code malicieux, qui sur certains vieux navigateurs peuvent permettre d’installer virus et autres joyeusetés …
C’est tout de même très étrange dans un site d’une telle ampleur de voir ce genre de failles qui est très facile à éviter.
À l’heure actuelle, la faille semble en correction bien que les commentaires exploitant cette faille marchent toujours
Edit : La faille est corrigée
2 Comments
Il y en a[vait] une sur Facebook aussi, dans la page de recherche de causes il me semble ^^
Surement, mais c’est une application externe il me semble, quoi qu’il en soit, c’est super dangereux pour le visiteur lambda …