Liens du jour – 16 Mai 2011

Les liens du jour à ne pas manquer (Flux RSS) !

Faille XSS dans Yahoo!

via Korben, de Korben le 15 May 2011

Je suis actuellement à Bucarest où j’assiste à un Open Hackday organisé par Yahoo! . Objectif pour les participants : Pondre un hack original utilisant les technos de Yahoo!

Sur place, j’ai rencontré Paxnwo, un hacker de type blackhat qui va surement bien surprendre les membres du jury. En effet, il a découvert pendant les premières heures du concours une faille XSS sur le site Yahoo.com, ou plus exactement dans Yahoo! Pipes.

yahoopipes1 Faille XSS dans Yahoo!

Ironique non ?

Du coup, il a conçu un exploit plutôt impressionnant. En envoyant à un utilisateur de Yahoo Mail, un lien vers une page de son cru, il récupère les informations du cookie et peut ainsi voler la session de sa victime.

yahoopipehello Faille XSS dans Yahoo!

Grâce à son outil, il peut alors faire plusieurs choses comme vérifier si l’utilisateur est en ligne, récupérer ses contacts, s’identifiant en tant que cet utilisateur et lire ses emails, et cerise sur le gateau, faire un « Mass send » qui enverra le fameux mail avec le lien « infecté » à tous les contacts de la victime.

Diabolique !

Screenshot 11 Faille XSS dans Yahoo!

Pour info, la fonction Delete sert uniquement à faire un clear de la session volée pour passer à une autre.

Je lui ai demandé s’il allait expliquer à Yahoo! comment corriger cette faille mais il m’a répondu que non. Il va garder cette faille pour lui et l’exploiter pour « sa consommation personnelle ». Ahaha l’affreux Blackhat !

Edit : Finalement, il vient de montrer le code au jury de Yahoo! et l’un d’entre eux a prévenu par SMS les développeurs. J’ai eu le temps de faire mes captures écran, mais à mon avis, ça va être rapidement patché.

Juste pour la petite histoire, les services secrets Roumains étaient présents ce matin, pour prendre des photos des participants, façon « discrète mais pas trop » (vous connaissez la police…)

Vous pouvez retrouver Paxnwo et ses pôtes sur le site de sa team : rstcenter.com (en roumain)

PS3 System Software Update v3.61

via PSX-SCENE: Fair & Unbalanced – Latest News, de The Central Scrutinizer le 14 May 2011
The official "mandatory" firmware update v3.61 is now live on Sony's system. PSN is being re-initialized in waves and should be available soon.

Quote:

We have been working on a new PS3 system software update that requires all PSN users to change their password once PlayStation Network is restored. The update (v3.61) is mandatory and is available now.

If using a PS3, your password can only be changed on your own PS3 (or a PS3 on which your PSN account was activated), as an added layer of security. If you have never downloaded any content using your account on the system, an email will be sent to the registered sign-in ID (email address) associated with your account when you first attempt to sign-in to PSN. This e-mail will contain a link that will enable you to change your password. In this email, click on the link and follow the instructions to change your password. Once you have changed your password you can sign-in to your account using your new password.

We strongly recommend that all PSN account holders with PS3s update their systems to prepare for when PlayStation Network is back online. The release of this update is a critical step as we work to make PlayStation Network significantly more secure. Thank you for your continued support and patience.

News Source: Sony Playstation

Thanks to akveli47 and mrgreaper for the news submission!

325ème édition des LIDD : Liens Idiots Du Dimanche

via PC INpact, de nil@pcinpact.com (Nil Sanyas) le 14 May 2011
Le programme des 325ème LIDD de PC INpact
– 3 jeux
– 6 vidéos
– 2 animations
– 1 site à part

Si certaines animations et vidéos ne fonctionnent pas du tout ou sont terriblement lentes, n'hésitez pas à jeter un œil du côté de YouTube …

The Media Cabinet & Construction Kit v1.0 Release

via PSX-SCENE: Fair & Unbalanced – Latest News, de The Central Scrutinizer le 14 May 2011
PSX-SCENE member shagratt71 has released his much anticipated Media Cabinet & Construction Kit v1.0

Quote:
Originally Posted by shagratt71

Here is The Media Cabinet v1.0. Included in the package is a single PSD file which can be used in any version of Photoshop or similar program to move and manipulate the multitude of specially designed shelf items, more item packs will be released in future updates.The actions palette is still not fully functional and will be released in v1.01. I would just like to thank Dean for all the hard work he puts into his multiMAN and I look forward to releasing more themes for it in the future.

All artwork within The Media Cabinet is copyrighted Wades Engineering and Graphic Design and is all totally original. The Media Cabinet Construction PSD is permitted for personal use only.

MEGAUPLOAD – The leading online storage and file delivery service

Ce post regroupe toutes les news de la journée que j’ai jugé les plus intéressantes.

Digest powered by RSS Digest

Published by

Louwii

Web developer, geek, car enthusiast, photographer, DIYer, video gamer... I like many things, maybe too many?

Leave a Reply

Your email address will not be published. Required fields are marked *