Une semaine plus tard:
- La faille chez fuzz existe toujours.
- Maintenant que scoopeo est revenu, on peut constater le même type de faille chez eux.
Je n'ai pas trouvé d'adresse pour les contacter(maintenant corrigée)
Edit: Encore trouvés en 10 minutes:
- Une faille XSS chez programmez.com
- Une faille XSS chez editions-eyrolles.com (maintenant corrigée)
- Une faille XSS chez parisweb2006.org (maintenant corrigée)
Les 3 ont été contactés.
Commentaires
Bonjour,
Je ne comprends pas en quoi consiste la faille
Bien à vous,
JM
Elle permet une attaque de type Cross Site Scripting. Un attaquant pourrait donner une url de ce type à quelqu'un et lui voler sa session et donc son compte, lui faire voter pour des news, etc.
cf en.wikipedia.org/wiki/XSS
Ok pour PW2006, ça sera corrigé dès que l'un de nous aura accès au FTP (oui, certaines sociétés interdisent le FTP à leurs ingénieurs Web)
Merci pour le rapport
Merci pour l'info.
J'ai corrigé la faille.
Je vais implémenter une solution plus générique un de ces jours
Bien à vous
Eric: nous on embauche