Cette formation vidéo présente une attaque possible par URL (Uniform Resource Locator) en utilisant la syntaxe @.

Ce tutoriel vous montre comment fonctionne cette attaque et comment faire pour s'en protéger.

En effet, la recommandation RFC(Request for Comments) 2396 (http://www.ietf.org/rfc/rfc2396.txt) spécifie que les URL peuvent inclure un nom d'utilisateur à l'aide de la syntaxe suivante :

<userinfo>@<host>:<port>

Cela permet à un agresseur d'insérer un texte avant le nom du serveur (hôte = host en anglais) de l'URL.

Exemple : http://www.microsoft.com@formamotion.com

En tapant cette URL ci-dessus, on accède au site http://formamotion.com tout en utilisant comme nom d'utilisateur : www.microsoft.com

Cependant, comme http://formamotion.com ne nécessite pas de mot de passe, le nom d'utilisateur de l'URL n'est pas employé.

Un attaquant peut également dissimulé un peu plus le nom réel du serveur dans le but de provoquer une confusion plus grande.

Par exemple, en utilisant l'adresse IP du serveur en question.

De plus, un attaquant peut dissimulé un peu plus l'adresse IP en la convertissant en une valeur DWORD (32 bits).

- Un tiers malveillant peut ainsi utiliser cette syntaxe pour dérouter une victime.
- Il peut également combiner l'attaque de cette syntaxe username@URL avec une attaque de type phishing (pour soutirer des informations comme des informations personnelles par exemple).

Néanmoins, certains navigateurs web ont pris des mesures nécessaires contre ce type d'attaque.