Your new post is loading...
Il n'y a pas que le Heartbleed bug dans la vie pour s'amuser ! Non, il y a aussi cette faille XXE qui permet d'exploiter certains parsers XML qui interprètent aveuglement n'importe quelle DTD fournie avec un document XML.
Via Stephane Manhes
|
Rescooped by Stéphane NEREAU from Sécurité, protection informatique |
Scoop.it!
Via Stephane Manhes
Stéphane NEREAU's insight:
Dans tous les cas, si vous utilisez un parser XML dans vos projets, vérifiez qu'il soit bien patché contre ce genre d'attaque.
Comme vous pouvez le voir sur les captures-écran, ils ont forgé leur XML pour obtenir du serveur, le contenu des fichiers /etc/passwd et /etc/hosts présents sur l'un des serveurs en production de Google.