Owasp AppSec NYC 2008 – jour 1 – ClickJacking, un exploit 0-day Robert DellImmagine le 28 septembre 2008 à 17h40, dans la rubrique Menaces Commentaires (2) 0dayappsecbrowsersclickjackingexploitfaille webha.ckers.orgnyc 2008owasp Robert Hansen et Jeremiah Grossman dévoilent (à moitié) une nouvelle technique permettant de contrôler le navigateur de n’importe quel Internaut surfant sur un site malicieux… Une présentation qui nous laisse un peu sur sa faim ! D’après le blog de Jeremiah cette présentation de la technique du ClickJacking a bien failli ne pas avoir lieu. Des « pressions » auraient été exercées par les éditeurs incriminés ont poussé les deux chercheurs à ne pas divulguer toutes les informations techniques. Ils ont pris soins de ne laisser aucun matériel (slides, papier) à l’auditoire en attendant que des correctifs soient rendus disponibles. Adobe et Microsoft planchent déjà sur le problème Le ClickJacking — technique dont on devrait entendre parler de plus en plus — consiste à prendre le contrôle du navigateur de la victime lors de la visite d’un site malicieux. Le problème exposé par Jeremiah concerne la quasi totalité des navigateurs Web, seuls sont exempts les butineurs en mode console tels de Lynx. Cette faille n’aurait absolument aucun lien avec Javascript et reste exploitable même si le JS est désactivé au sein du navigateur. D’après certains participants de l’OWASP AppSec 2008, il serait même possible d’aller jusqu’à prendre le contrôle du poste de la victime ! Affaire à suivre Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!