Abonnez vous!

Search

Une faille XSS chez turbo poker

C'est le site Zataz qui dévoile la découverte de cette faille: le site turbo poker souffre d'une faille de type XSS.



Les risques sont les suivants (merci wikipédia):
  • Redirection (parfois de manière transparente) de l'utilisateur.
  • Vol d'informations, par exemple sessions et cookies.
  • Actions sur le site faillible, à l'insu de la victime et sous son identité (envoi de messages, suppression de données, etc.)
  • Rendre la lecture d'une page difficile (boucle infinie d'alertes par exemple).
Il s'agit donc d'un problème de sécurité à ne pas prendre à la légère, même s'il est plutôt commun sur le web.

Le défaut ne semble pas atteindre la base de données du site, donc les dommages en cas d'exploitation sont probablement très limités.

Turbo Poker n'ont pas répondu à Zataz qui leur a révélé le soucis, j'imagine que l'on est pas très fier dans ces cas là, d'autant plus dans un secteur d'activité comme le igaming.




8 commentaires:

C'est impressionnant comme nom:XSS.
Je ne connais pas encore leur interface mais, si cette faille est avérée, il peut y avoir des détournement de compte à la clé.
Ce n'est effectivement pas à prendre à la légère.
J'ai failli ouvrir un compte aujourd'hui chez eux. Je suis vert.

@tetram: j'espère que depuis la publication de ce problème, les dev ont corrigé...

Sur pokerstrategy, ils disent que Zataz n'a pas eu de réponse. Ca fait un peu peur quand même.

@tetram: c'est ce qui est dit dans le billet de zataz en tout cas...

Une faille XSS peut etre exploitée par des ptits malins pour détourner la page et faire une sorte de phishing pour recupérer des données ... donc la BDD ne peut pas etre impactée par cette faille , mais cette faille peut permettre de demander a des utilisateurs de rentrer des données (type password) dans une page piégée (une page qui ressemblera en tout point a celle de Turbopoker)
Enfin bon , rien de bien alarmant non plus ... on n'est plus en 2000 ,

@anonyme: le risque est faible, pourtant il est bien présent.

de toute facon, turbo poker = turbo merde

@anonyme: j'avoue que je ne peux juger turbopoker, mais j'étais un reg de poker770 à l'époque...

Publier un commentaire