Google accounts SSL login page suffers from highly critical XSS

– Date : 13 Novembre 2008

– Dommages :
Vol de session
Vol d’informations

– Description :

Une vulnérabilité a été découverte hier sur la page d’authentification des applications en ligne Google. Celle-ci permettait à un attaquant de mener une attaque de "Cross Site Scripting" (XSS).

Le problème provenait d’un manque de contrôle au sein du paramètre "hl". Un pirate était en mesure d’injecter du code HTML/JavaScript au sein du navigateur de sa victime afin de voler le cookie de session ou modifier l’apparence de la page web visualisée (phishing).

Les équipes de Google ont été très réactives puisque quelques heures après la publication de cette vulnérabilité, celle-ci a été corrigée.

Cette faille de sécurité laisse tout de même à réfléchir sur la sécurité des applications en ligne fournies par un tiers, surtout qu’un simple vol de cookie permet d’accéder à l’ensemble du contenu d’un compte (Reader, GMail, Documents ...) grâce à l’identification unique SSO (Single Sign On).

– Référence :

http://xssed.com/news/79/Google_accounts_SSL_login_page_suffers_from_highly_critical_XSS/

– Correction :

Google a corrigée dans l’après-midi cette vulnérabilité.

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1226574862