Faille site viadeo non securisé
Dernière réponse : dans Le monde de Windows
je viens de faire l'expérience chez moi avec l'ordinateur portable de ma conjointe. Je me logue sur son ordinateur sur viadeo normalement et je met ma page "tableau de bord" dans un favori (windows vista et internet explorer utilisé). J'éteins l'ordinateur de ma conjointe sans avoir fait de déconnexion complète de viadeo.
Ensuite je me logue sur mon ordinateur personnel (windows xp et mozilla) et me logue sur viadeo normalement. Je vais dans la rubrique pour changer mon mot de passe. l'opération est enregistrée avec succes. J'arrête mon ordinateur personnel.
Je reviens sur l'ordinateur de ma conjointe pour l'allumer. j'ouvre internet sur google par exemple. je clique sur mon favori precedemment enregistré et SURPRISE, j'ai accès à ma boite de réception et peux ouvrir mes messages.
viadeo dit gérer l'anonymat avec une déconnexion incomplète. MAis le problème, c'est que si personne ne fait pas de déconnexion complète, peut lire les correspondances mail
connaissez vous l'origine de ce bug?
Ensuite je me logue sur mon ordinateur personnel (windows xp et mozilla) et me logue sur viadeo normalement. Je vais dans la rubrique pour changer mon mot de passe. l'opération est enregistrée avec succes. J'arrête mon ordinateur personnel.
Je reviens sur l'ordinateur de ma conjointe pour l'allumer. j'ouvre internet sur google par exemple. je clique sur mon favori precedemment enregistré et SURPRISE, j'ai accès à ma boite de réception et peux ouvrir mes messages.
viadeo dit gérer l'anonymat avec une déconnexion incomplète. MAis le problème, c'est que si personne ne fait pas de déconnexion complète, peut lire les correspondances mail
connaissez vous l'origine de ce bug?
Autres pages sur : faille site viadeo securise
Lassé par la pub ? Créez un compte
Session Hijacking ou HTTP fixation cherche sur google, plus que 80% des site web souffre de ces deux vulnérabilité, je présume que le securityToken ou la methode d'analyse des requetes exercé par viadeo, ne tien pas en compte de lié charque session à un ou deux truc unique de chaque visiteur sa veu dir :
- quand tu te log il faut 1 que le choi de la session ID change, 2 que le securityToken soit completement aléatoir et que C est le serveur qui le file non l utilisateur avec son browser!. Donc une foi que kelk 1 et logger Session ID ou securityToken (je connai pa viadeo j'ai juste navigué deux ou 4 fois , alors normalement s ils sont sensiblisé par la sécurité des utilisateur il doivent utilisé Cette méthode "SessionID and securityTokens" s il utilise alors ils l'ont male employé ) - l'idée C ke les sessionID et SecurityToken doivent etre délivré et lié à l'IP ou/et useragent de l'utilisateur.
Autre chose ils sont rare les expert en sécurité alors C normale de trouvé des vulnérabilité partout !
- quand tu te log il faut 1 que le choi de la session ID change, 2 que le securityToken soit completement aléatoir et que C est le serveur qui le file non l utilisateur avec son browser!. Donc une foi que kelk 1 et logger Session ID ou securityToken (je connai pa viadeo j'ai juste navigué deux ou 4 fois , alors normalement s ils sont sensiblisé par la sécurité des utilisateur il doivent utilisé Cette méthode "SessionID and securityTokens" s il utilise alors ils l'ont male employé ) - l'idée C ke les sessionID et SecurityToken doivent etre délivré et lié à l'IP ou/et useragent de l'utilisateur.
Autre chose ils sont rare les expert en sécurité alors C normale de trouvé des vulnérabilité partout !
Lassé par la pub ? Créez un compte
