Je suis sur le point d'obtenir leur diplôme en "informatique", et je répète la thèse sur les vulnérabilités JavaScript. En particulier, j'analyse les vulnérabilités JS qui permettent des attaques XSS.
Je voudrais signaler un chapitre spécifique une attaque célèbre qui a exploité des vulnérabilités JS. Est-ce que quelqu'un sait que l'existence de telles attaques s'est produite dans l'histoire récente?
Le plus célèbre doit être le Samy Worm :
Samy (également connu sous le nom de Js.spacehero) est un ver XSS conçu pour se propager sur le site de réseau social MySpace écrit par Samy Kamkar. En seulement 20 heures de sa publication de 2005 sur le 4 octobre 2005, plus d'un million d'utilisateurs avaient exécuté la charge utile de la charge de travail le virus la plus rapide de tous les temps.
Le ver lui-même était relativement inoffensif, il portait une charge utile qui afficherait la chaîne "mais surtout, Samy est mon héros" sur une page de profil MySpace de la victime. Lorsqu'un utilisateur a affiché cette page de profil, la charge utile serait alors reproduite et plantée sur leur propre page de profil poursuivant la distribution du ver. MySpace a depuis sécurisé son site contre la vulnérabilité, mais certains profils MySpace affichent toujours des preuves du ver à ce jour.
Il y avait aussi xssed qui conserve un enregistrement d'exploits réels, mais il semble ne plus être maintenu.
Vous voilà:
20 sites sites célèbres vulnérables aux attaques de script de site interrompu (XSS), notamment des journaux célèbres, des agences fédérales et du plus grand restaurant de restauration rapide au monde.
Fondamentalement la même question mais répondit en 2011.
Le fournisseur de messagerie Web populaire Yahoo a été claqué avec une nouvelle attaque par courrier électronique qui saisit le contrôle des comptes des victimes. Bitdefender Labs a découvert la campagne en cours aujourd'hui et a une nouvelle fois averti les utilisateurs sur les dangers de cliquer sur des liens spammy.
En réponse à une réponse rapide et directe, vous pouvez consulter ces célèbres vers JS Worms obtenus en exploitant des vulnérabilités XSS:
La vulnérabilité de script de cross-site qui a été exploitée était que le champ de profil "Emplacement" n'était pas correctement désinfecté avant son inclusion dans une page de profil.
Orkut, un site de réseautage social, a également été touché par un ver XSS. Les utilisateurs infectés reçoivent une ferraille contenant les mots "Bom Sabado" (Portugais, "Happy Samedi"). Google n'a pas encore commenter la situation.
Vous trouverez plus de monde réel - et récent - Exemples en recherchant ici selon les critères souhaités:
Aussi, intéressant à lire: bogue XSS dans la page de connexion Hotmail .
Les autres réponses sont excellentes, mais je pensais partager une histoire supplémentaire que je me souviens - http://www.zdnet.com/article/strongwebwebmail-ceos-mail-account-hacked-via-xsss/
Lance James et Crew ont trouvé un XSS lorsqu'il est confronté à un défi provoqué par le PDG de StrongWebmail (dans le style de LifElock ). Ils ont pu gagner avec succès le défi par le biais de l'utilisation des XSS (le PDG est tombé pour l'attaque dans un email de phishing qui lui a été conçu spécifiquement), mais le PDG renifla lorsque le prix devait être attribué. La réclamation du PDG était la XSS ne piste pas et n'a donc pas de qualité pour le prix.
Finalement, Lance and Team a reçu le prix de 10 000 $, avec plus de détails ici - https://web.archive.org/web/20111211040709/http://www.fireblog.com/exclusive-Inview- avec-fortewebMails-10000-Hacker /