Surf Jacking : comment voler et utiliser un cookie HTTPS

Un nouveau outil d'(in)sécurité nommé “Surf Jack”  vient d'arriver.

Cet outil permet à un pirate se voler le cookie de session d'un site accédé en HTTP, et surtout en HTTPS.
Usurpation d'identité, vol de données, atteinte à la confidentialité.
Les sites de webmail comme GMail sont vulnérables, mais aussi certaines banques qui n'auraient pas corrigés leur sécurité dans le cookie.

Mike Perry a fait une conférence sur cette faille à Defcon.

Une vidéo intéressante et simple a été réalisée par Sandro Gauci de enablesecurity, exécutant la faille sur GMail.

Liens :
Vidéo : http://www.vimeo.com/1507697
Outil : Surf Jack
Site : http://www.enablesecurity.com

Posté le 13 aout 2008 par Jeremy AMIOT

Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité