Correction d’une faille pour LaPoste.fr

Le portail LaPoste.fr, qui change de tête ce 30 juin, était faillible à une faille de type XSS. Un cross site scripting reflective qui aurait pu permettre à un pirate d’afficher, dans le site officiel de La Poste, de fausses informations, comme une page d’identification malveillante à destination des clients de La Banque Postale par exemple.

Laposte

Notre capture écran montre l’affichage de zataz.com via le site LaPoste.fr. Comme à son habitude, l’équipe de l’Observatoire Sécurité/Veille de La Poste aura été très rapide à répondre au protocole d’alerte de zataz. Dans ce cas, l’alerte 50.086 aura été prise en compte en moins de 2 heures.

Pour rappel, les XSS sont classés dans le top 3 des vulnérabilités les plus présentes dans les applictions web. (JC)

Poster un commentaire