Introduction
Le fait que les attaques sur le Web 2.0 se soient renforcées en 2007 est dû en grande partie au rythme avec lequel les entreprises développent leurs applications. Afin de rester compétitives, ces compagnies publient régulièrement de nouvelles fonctionnalités pour leurs sites, souvent sans les tester suffisamment. Les applications mal testées et développées rapidement offrent un terreau fertile aux pirates qui y trouvent plus facilement des failles de sécurité qu’ils peuvent exploiter.
Les techniques d’exploitation d’applications web n’ont pas beaucoup changé au cour de ces dernières années. Les attaquants utilisent souvent des failles de type « cross-site scripting » pour injecter du code (souvent du Javascript) dans des pages web. C’est ce type de faille qui a été utilisé par un ver qui s’est propagé sur MySpace en 2005 (http://namb.la/popular/tech.html) et, plus récemment, sur Orkut au mois de décembre 2007 (http://www.theregister.co.uk/2007/12/19/worm_hits_orkut/).
D’un autre côté, nous avons commencé à observer des attaques exploitant des faiblesses de sécurité spécifiques à certains sites utilisant les technologies du Web 2.0. Par exemple, une application malveillante a été distribuée sur le site Facebook dernièrement. Cette application dirigeait les utilisateurs voulant l’installer vers un site web externe à Facebook et tentait d’installer un logiciel espion sur l’ordinateur des visiteurs.
Auteur : par Pierre-Marc BUREAU, Chercheur en malware chez ESET, LLC
Télécharger le livre blanc de la société Athena Global Service
Continuer avec Linkedin