Jump to content

Faille XXL dans le site de la NASA


Recommended Posts

un nouveau d'exploit de ColdFire ^^

Un hacker algérien apporte son aide à la NASA pour faire corriger plusieurs importantes failles. Le "white hat" algérien Fawzi vient de faire appel au protocole d'alerte de ZATAZ.COM pour permettre à la NASA de corriger l'un de ses serveurs. Les corrections étant en cours, la rédaction de ZATAZ.COM n'apportera pas plus de précision sur l'url du serveur en question. La premiére faille, un XSS. Ce Cross-Site Scripting permet d'injecter un code JavaScript, VBScript, ActiveX, HTML ou Flash dans une application vulnérable afin de tromper un utilisateur. Une action qui pourrait permettre, aussi, l'installation d'un XSS backdoor dans le pc du visiteur ; lancer l’installation d’un code furtif ; intercepter le cookie de connexion. La seconde faille est plus grave : une LFI, une "Local File Inclusion". Une injection XML plus loin permet d'avoir accès aux fichiers TRES sensibles du serveur. Détail que ZATAZ.COM a pu constater. Autant dire qu'un pirate aurait pu injecter, sans l'intervention de Fawzi, un code malveillant, directement dans la machine. ZATAZ.COM s'étonne d'une telle faille, d'autant que l'exploit date de 2009. Du retard au décollage, pour la NASA, dans le contrôle de l'ensemble de sa constelation de serveurs !

 

120828110613137609.png

 

Lien de l'image

Edited by ColdFire
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...