et la sécurité un point d étape

Transcription

1 Sébas3en Gioria OWASP France Leader GSDays - 4 Avril Paris - France et la sécurité un point d étape

2 gioria Consultant Indépendant en Sécurité Applicative OWASP France Leader & Founder - Evangéliste OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) Twitter :@SPoint 2

3 Agenda Un peu d histoire HTML5 pour les nuls en 4mn 2s Nouvelles a;aques et protec>ons? Références Oui, vous avez bien lu quelque chose ici 3

4 Delorean Passion HTML 4.0 HTML 5? HTML 2.0 HTML 1.0 CSS 2 CSS 3 JavaScript la DOM XmlH;pRequest Il n y aura pas d éléphpants dans ce;e présenta>on 4

5 Delorean Passion HTML 4.0 HTML 5? HTML 2.0 HTML 1.0 CSS 2 CSS 3 JavaScript la DOM XmlH;pRequest Il n y aura pas d éléphpants dans ce;e présenta>on 4

6 Delorean Passion HTML 4.0 HTML 5? HTML 2.0 HTML 1.0 CSS 2 CSS 3 JavaScript la DOM XmlH;pRequest 20 ans, noces de porcelaine... Il n y aura pas d éléphpants dans ce;e présenta>on 4

7 L état de la norme par contre il y a d autres animaux... 5

8 Eléments intéressants de HTML5 mais pas dans ce slide 6

9 4mn 2s Nouvelles balises On n est pas la pour parler de peinture... Nouvelles APIs WebSocket WebMessaging IndexedDB OffLine Web ApplicaBon WebStorage (votre nouveau DropBox?...) Cross Origin Ressource Sharing (déja rien que le nom est intéressant...) Ni dans celui la... 7

10 4mn 2s WebSocket : Permet d effectuer des connexions persistantes et bidirectionnelles mécanisme de Push possible interface en cours de finalisabon/spécificabons nécessite un serveur compabble API minimaliste (send, receive via event) hpp:// en meme temps, des animaux dans ce;e présenta>on pourquoi? 8

11 4mn 2s WebMessaging : communication interdocuments HTML via la méthode window.postmessage(); pas de garanbe de contenu inoffensif (ie; pas de filtre de type anb- XSS...) vérificabon de l origine a la charge de l applicabon receptrice. il est possible de transporter du JSON :) hpp:// tout seimplement parcequ elle a été finalisée à Paques 9

12 4mn 2s IndexedDB; la Web SQL Database... API synchrone et asynchrone pensée pour JavaScript; stockage d objets hpp:// me;re des oeufs était difficile 10

13 4mn 2s Offline Web Applications: possibilité d exécuter tout ou partie des applications même non connecté. via navigator.online mise en cache des données nécessaires(html, CSS, JavaScript...) hpp:// et du chocolat aussi 11

14 4mn 2s WebStorage : donne la capacité au navigateur de stocker jusqu a 5Mo à 10Mo de données deux type de stockage : local ou de session possibilité de stocker des objets JSON possibilité de stocker de manière régulière hpp:// 12

15 Sécurité? 13

16 Modèle de sécurité HTML5 Interface U>lisateur Sandbox/SOP HTML/CSS Page/ Appli JavaScript DOM HTTP/XHR/WebSockets Internet 14

19 Modèle de sécurité HTML5 Interface U>lisateur Sandbox/SOP HTML/CSS Page/ Appli JavaScript DOM HTTP/XHR/WebSockets Internet APIs Stockage (Web, SQL,..) 14

20 Modèle de sécurité HTML5 Interface U>lisateur Sandbox/SOP HTML/CSS Page/ Appli JavaScript DOM HTTP/XHR/WebSockets Internet APIs Stockage (Web, SQL,..) API GeoLoc 14

21 Modèle de sécurité HTML5 Interface U>lisateur Sandbox/SOP HTML/CSS Page/ Appli JavaScript DOM HTTP/XHR/WebSockets Internet APIs Stockage (Web, SQL,..) API GeoLoc API... 14

22 FalsificaBon de Forms Il est possible de contrôler une Forms en dehors de l élément form <form id= myform action= basic.php > <input type= text name= user value= /> </form> <input form= myform type= submit name= value= Advanced Version /> 15

23 FalsificaBon Forms <form id= login action= login.php > <input type= text name= username /> <input type= password name= password /> <input type= submit name= value= Login /> </form> 16

24 FalsificaBon Forms <form id= login action= login.php > <input type= text name= username /> <input type= password name= password /> <input type= submit name= value= Login /> </form> Si on arrive à injecter ce code 16

25 FalsificaBon Forms <form id= login action= login.php > <input type= text name= username /> <input type= password name= password /> <input type= submit name= value= Login /> </form> Si on arrive à injecter ce code New VIP section of the site is open! <input form= login type= submit name= Enter VIP section formaction= /> 16

26 FalsificaBon Forms <form id= login action= login.php > <input type= text name= username /> <input type= password name= password /> <input type= submit name= value= Login /> </form> Si on arrive à injecter ce code New VIP section of the site is open! <input form= login type= submit name= Enter VIP section formaction= /> 16

27 FalsificaBon Forms <form id= login action= login.php > <input type= text name= username /> <input type= password name= password /> <input type= submit name= value= Login /> </form> Si on arrive à injecter ce code New VIP section of the site is open! <input form= login type= submit name= Enter VIP section formaction= /> Automa3quement, evil.org dispose des éléments et la Forms ini3ale est appelée 16

28 Protocol/content Handlers Il est possible d enregistrer des handlers de protocole ou de type de fichiers personalisés sms:// applica>on/pdf Il est possible (mais pas recommandé) de changer les handlers standards (dépend des navigateurs) Il n est pas obligatoire de demander à l u3lisateur son autorisa3on 17

29 Cross Origin Resource Sharing 1/4 XHR ne peut dialoguer qu avec le site Web originaire du JavaScript non, vous avez bien lu...un boeuf! 18

30 Cross Origin Resource Sharing 1/4 XHR ne peut dialoguer qu avec le site Web originaire du JavaScript non, vous avez bien lu...un boeuf! 18

31 Cross Origin Resource Sharing 1/4 XHR ne peut dialoguer qu avec le site Web originaire du JavaScript Mais c etait sans compter les boeufs! non, vous avez bien lu...un boeuf! 18

32 Cross Origin Resource Sharing 1/4 XHR ne peut dialoguer qu avec le site Web originaire du JavaScript Mais c etait sans compter les boeufs! HTTP/ OK Content-Type: text/html Access-Control-Allow-Origin: non, vous avez bien lu...un boeuf! 18

33 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr intranet 19

38 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr GET / HTTP/1.1 intranet 19

39 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr GET / HTTP/1.1 intranet 19

40 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr GET / HTTP/1.1 intranet HTTP/ Ok Access- Control- Allow- Origin: * 19

41 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr GET / HTTP/1.1 intranet HTTP/ Ok Access- Control- Allow- Origin: * 19

43 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès GET / HTTP/1.1 poc.ckers.fr intranet 19

44 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès GET / HTTP/1.1 poc.ckers.fr intranet 19

46 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr HTTP/ Ok <script>xmlh;prequest... intranet 19

47 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr HTTP/ Ok <script>xmlh;prequest... intranet 19

49 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr XMLHTTPRequest intranet 19

50 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr XMLHTTPRequest intranet 19

52 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr intranet HTTP/ Ok Access- Control- Allow- Origin: * 19

57 Cross Origin Resource Sharing 2/4 Bypass des contrôles d accès poc.ckers.fr POST /endpoint HTTP/1.1...(contenu de la page interne) intranet 19

58 Cross Origin Resource Sharing 3/4 DDOS? poc.ckers.fr 20

63 Cross Origin Resource Sharing 3/4 DDOS? GET / HTTP/1.1 poc.ckers.fr 20

64 Cross Origin Resource Sharing 3/4 DDOS? GET / HTTP/1.1 poc.ckers.fr 20

66 Cross Origin Resource Sharing 3/4 DDOS? poc.ckers.fr HTTP/ Ok <iframe src=

71 Cross Origin Resource Sharing 3/4 DDOS? poc.ckers.fr XMLH;pRequest 20

79 Cross Origin Resource Contre- mesures : RestricBon du domaine Ne pas faire confiance à l entete; elle peut être modifiée par l apaquant. MePre en place des contre- mesures réseaux franchement, vous avez une autre réelle solu>on pour les DDOS? => Venir me voir a la fin de la présenta>on avec votre vraie solu>on... 21

80 Cross Origin Resource Contre- mesures : RestricBon du domaine Ne pas faire confiance à l entete; elle peut être modifiée par l apaquant. MePre en place des contre- mesures réseaux franchement, vous avez une autre réelle solu>on pour les DDOS? => Venir me voir a la fin de la présenta>on avec votre vraie solu>on... 21

81 Cross Origin Resource Contre- mesures : RestricBon du domaine Ne pas faire confiance à l entete; elle peut être modifiée par l apaquant. MePre en place des contre- mesures réseaux pour les DDOS franchement, vous avez une autre réelle solu>on pour les DDOS? => Venir me voir a la fin de la présenta>on avec votre vraie solu>on... 21

82 Cross Origin Resource Contre- mesures : RestricBon du domaine Ne pas faire confiance à l entete; elle peut être modifiée par l apaquant. MePre en place des contre- mesures réseaux pour les DDOS franchement, vous avez une autre réelle solu>on pour les DDOS? => Venir me voir a la fin de la présenta>on avec votre vraie solu>on... 21

83 Cross Origin Resource Contre- mesures : RestricBon du domaine Ne pas faire confiance à l entete; elle peut être modifiée par l apaquant. MePre en place des contre- mesures réseaux pour les DDOS débrancher le cable... franchement, vous avez une autre réelle solu>on pour les DDOS? => Venir me voir a la fin de la présenta>on avec votre vraie solu>on... 21

84 WebStorage Pas de contrôle de la part de l u>lisateur sur ce qui est stocké/accéder DOS via les disques par remplissage L injec>on de Javascript peut bypasser la limita>on du contrôle d accès. Vol de Sessions Vol de données sensibles Tracking d ublisateurs 22

85 All you disk is belong to US? bon, oui, la vidéo a été faite hier...mais c etait pour éviter l effet démo 23

86 All you disk is belong to US? Par défaut WebStorage limite a quelques méga l espace disque par origine (2.5Mb à 10Mb) bon, oui, la vidéo a été faite hier...mais c etait pour éviter l effet démo 23

87 All you disk is belong to US? Par défaut WebStorage limite a quelques méga l espace disque par origine (2.5Mb à 10Mb) La norme dit que chaque origine n a pas forcément 5Mb. Mais... bon, oui, la vidéo a été faite hier...mais c etait pour éviter l effet démo 23

90 All you disk is belong to US? Par défaut WebStorage limite a quelques méga l espace disque par origine (2.5Mb à 10Mb) La norme dit que chaque origine n a pas forcément 5Mb. Mais... En cours de correc>on, mais démonstra>on intéressante... Tests à h;p:// bon, oui, la vidéo a été faite hier...mais c etait pour éviter l effet démo 23

91 WebStorage Tracking User Les localstorage ne sont pas forcément effacés lorsqu on efface l historique (ni quand on qui]e le navigateur) J en connais plusieurs qui vont ouvrir FireBug rapidement... 24

92 WebStorage Tracking User Les localstorage ne sont pas forcément effacés lorsqu on efface l historique (ni quand on qui]e le navigateur) J en connais plusieurs qui vont ouvrir FireBug rapidement... 24

93 WebStorage Tracking User Les localstorage ne sont pas forcément effacés lorsqu on efface l historique (ni quand on qui]e le navigateur) Il est donc possible de créer des iden3fiants (de type cookies) persistants perme]ant de suivre l u3lisateur J en connais plusieurs qui vont ouvrir FireBug rapidement... 24

94 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? c est quand même un peu sale de se servir des WebSockets 25

98 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 c est quand même un peu sale de se servir des WebSockets 25

99 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 c est quand même un peu sale de se servir des WebSockets 25

100 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok c est quand même un peu sale de se servir des WebSockets 25

101 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok c est quand même un peu sale de se servir des WebSockets 25

102 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket c est quand même un peu sale de se servir des WebSockets 25

103 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket c est quand même un peu sale de se servir des WebSockets 25

104 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake c est quand même un peu sale de se servir des WebSockets 25

105 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake c est quand même un peu sale de se servir des WebSockets 25

106 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake Tunnel TCP Full Duplex c est quand même un peu sale de se servir des WebSockets 25

107 WebSocket API :) Possible entre différents domaines Perme;rai de réduire la taille du contenu transporté? GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake Tunnel TCP Full Duplex c est quand même un peu sale de se servir des WebSockets 25

108 Websocket Menaces Parmi les a;aques possibles, certaines sont triviales: Shell Distant Botnet Web via un XSS ou tout simplement en se connectant à un site Web. Port scanning... 26

109 WebSocket Empoisonnement de cache de proxy Proxy Transparent 27 Ca me rappelle les proxy SFR...

113 WebSocket Empoisonnement de cache de proxy Proxy Transparent GET / HTTP/ Ca me rappelle les proxy SFR...

114 WebSocket Empoisonnement de cache de proxy Proxy Transparent GET / HTTP/ Ca me rappelle les proxy SFR...

115 WebSocket Empoisonnement de cache de proxy Proxy Transparent HTTP/ Ok GET / HTTP/ Ca me rappelle les proxy SFR...

116 WebSocket Empoisonnement de cache de proxy Proxy Transparent HTTP/ Ok GET / HTTP/ Ca me rappelle les proxy SFR...

117 WebSocket Empoisonnement de cache de proxy Proxy Transparent HTTP/ Ok GET / HTTP/1.1 Upgrade WebSocket 27 Ca me rappelle les proxy SFR...

118 WebSocket Empoisonnement de cache de proxy Proxy Transparent HTTP/ Ok GET / HTTP/1.1 Upgrade WebSocket 27 Ca me rappelle les proxy SFR...

119 WebSocket Empoisonnement de cache de proxy Proxy Transparent GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake 27 Ca me rappelle les proxy SFR...

122 WebSocket Empoisonnement de cache de proxy Proxy Transparent GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake GET / HTTP/1.1 Host: some.host.com 27 Ca me rappelle les proxy SFR...

123 WebSocket Empoisonnement de cache de proxy Proxy Transparent GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake GET / HTTP/1.1 Host: some.host.com 27 Ca me rappelle les proxy SFR...

124 WebSocket Empoisonnement de cache de proxy Proxy Transparent GET / HTTP/1.1 HTTP/ Ok Upgrade WebSocket WebSocket Protocol Handshake GET / HTTP/1.1 Host: some.host.com HTTP/ Ok Contenu falsifié 27 Ca me rappelle les proxy SFR...

125 OffLine Web ApplicaBon <!DOCTYPE HTML> <html manifest="/cache.manifest"> <body> Possibilité d avoir des a;aques de Type APT? Possibilité de pollu>on des caches de navigateurs (via un point d accès malveillant); meme du SSL Je crois que Nicolas a un bon avis sur les APT... 28

126 WebMessage Possibilité de perte de données sensibles (si envoyées à une mauvaise iframe ) postmessage() Page du site interne <iframe src= outside.control 29

127 Bac a sable des iframes <iframe sandbox="..." src=" Par défaut si rien n est précisé : Les formulaires, scripts et plug- ins sont désac>vés. Pas d accès aux éléments stockés en local (cookies, sessionstorage, localstorage). Pas d AJAX Les liens ne peuvent cibler d autres frames Le contenu est considéré externe (pas d accès à la DOM) vous saviez que les bacs a sables sont remplacés par des bacs à gravier maintenant? 30

128 Bac a sable des iframes Lever les restric>ons : allow- same- origin : autorise le contenu a être traité comme de la même origine est pas externe allow- top- naviga>on : l iframe peut accéder à la naviga>on de niveau supérieur allow- forms : autorise les formulaires allow- scripts : les scripts (hors popup) sont autorisés Les navigateurs ne supportent pas tous ces éléments! tout cela pour l hygiène alors qu on nous fais passer du cheval pour du boeuf! 31

129 Autres points importants Les longs traitements en JavaScript plantaient les navigateurs. Les WebWorkers perme;ent de lancer des JavaScript en tache de fond N accèdent pas à la DOM Accèdent à XHR, objet navigator, cache, lancement d autres WebWorkers... DDOS avec CORS & WebWorkers Calculs distribués (cf Ravan) Bientot la fin 32

130 Autres points importants Les longs traitements en JavaScript plantaient les navigateurs. Les WebWorkers perme;ent de lancer des JavaScript en tache de fond N accèdent pas à la DOM Accèdent à XHR, objet navigator, cache, lancement d autres WebWorkers... DDOS avec CORS & WebWorkers Calculs distribués (cf Ravan) Bientot la fin 32

131 Autres Points importants CSS3 introduit de nouvelles capacités à injecter du code JavaScript Nouvelles capacités au ClickJacking ou facebook jacking ou autre jacking... 33

132 Conclusion Plein de nouvelles API interessantes pour le développeur(et les agences Webs) L ouverture se fait au détriment de la sécurité...(même si un accent supplémentaire a été mis dessus dans les Specs) Une surface d a;aque accrue (CORS, Web/Storage Socket Workers) La belle part au JavaScript (qui peut s executer sans consentement u>lisateur) non, non, je ne fais pas que >rer sur les agences Web... 34

133 ww.html5test.com étonnant le cas du Blackberry non? 35

140 Quelques Sites a suivre.. h;p:// : le standard h;ps:// HTML5_Security_Cheat_Sheet h;p:// : liste des différents supports d API par navigateur h;p:// : le support de VOTRE navigateur vis a vis de la norme. h;p://html5readiness.com/ : L état du support des APis par les navigateurs Bon ben voila, c est la fin, merci d être encore présent ;) 36

141 @SPoint

142 @SPoint Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert]