Discussion :

[Cedrinho]

En l'occurrence c'est plus vicieux. En temps normal les < et > sont échappés des commentaires youtube. L'attaque a juste exploité un bug: mettre 2 balises script faisait sauter l'échappement de la deuxième. La première était bien échappé en &lt;script&gt; mais la deuxième restait <script>.

Curieux, non?

Oui en effet, c'est louche. Parce qu'un simple htmlentities convertit toutes les entités HTML, mais eux, il n'y a que la première balise et sa balise fermante apparemment

[homeostasie]

Les webmasters sous-estiment-ils trop les failles de type XSS ?

En ce qui concerne le XSS, et le problème de Youtube, je suis à 100% d'accord : c'est la faute du développeur (ou, plus certainement, celle de ses profs qui ne lui ont pas appris ce qu'était un XSS et pas dit que c'était à lui de s'en occupper).

Pour moi ici, il n'y a pas eu sous-estimation ou méconnaissance de la faille XSS puisse que l'on constate que la première balise "script" est échappé mais il y a bien un mauvais filtrage en l'occurrence, qui est bel et bien une erreur de développement.

L'attaque à juste exploité un bug: mettre 2 balises script faisait sauter l'échappement de la deuxième. La première était bien échappé en &lt;script&gt; mais la deuxième restait <script>.
Curieux, non?

Ça peut être le pattern d'une expression régulière mal réalisée pour filtrer correctement la saisie utilisateur.

Sont-elles vraiment inoffensives ?

Qui a osé dire cela?! ;-)

[xamtheone]

Ça peut être le pattern d'une expression régulière mal réalisée pour filtrer correctement la saisie utilisateur.

Ya des chances. En y réfléchissant, je devrais même préciser qu'ayant pu tester avant que le bug soit corrigé, tout ce qui suivait la balise script échappée n'était pas échappé (dans le commentaire). Le petit jeu du jour: deviner la regexp pourrie de youtube avant correction ^^'

[yuan]

Les Web Application Filters n'ont pas su détecter cet incident. Comment s'en protéger efficacement ?

Un bon firewall IPS avec inspection protocolaire jusqu'a la couche 7 saura très bien bloquer ce genre d'attaque. Pour dire .. même des produits français le font !!