dimanche 4 juillet 2010

Je sens un parfum d'injection sur youtube...

[EDIT]: C'est corrigé chez youtube. Ils sont rapides.
---

Youtube ne serait pas protégé contre les injections?

On vient de m'envoyer un lien youtube présentant une caractéristique curieuse:
http://www.youtube.com/watch?v=cNvJy0zoXOY. La vidéo s'entend bien, mais on ne voit que ceci:

Ma machine n'est pourtant pas infectée...

Il s'agit d'une injection réalisée par un des commentaires de la vidéo, celui de XZI7:
Une commande MARQUEE, enrobée dans un H1, le tout dans un script avec une balise presque fermée suffit. Résultat, on ne peut lire que le BAHAHAHAAHAH qui défile sur un fond noir. Ces prochains jours, je vais m'abstenir d'aller sur youtube, il y a sûrement un gars plus retors qui voudra essayer d'injecter du code plus offensif...

Je ne voudrais pas une fois de plus jouer sur l'air de "la sécurité est un échec" [(c) Newsoft], mais le fait que Google laisse passer ce genre d'injection laisse tout de même songeur.

Une rapide étude montre que l'injection se fait via le paramètre IF_HTML_FUNCTION. Une recherche google montre la propagation de la faille.

Aucun commentaire:

Enregistrer un commentaire