Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée
Faye
Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia », l'éditeur d'Hadopi.fr
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
Le 4 octobre 2010 à 10:51
(31 187
lectures)
Il y a 76 commentaires
INpactien
Cyber_zergo
Le mardi 5 octobre 2010 à 00:23:20
#61
Inscrit
le vendredi 10 octobre 08
-
1167
commentaires
c'est marrant passkeu ici ils disent que le contenu est géré avec Drupal :
http://hadopi.fr/informations-legales-et-editoriales.html
et quand on va ici, il disent que non :
http://isthissitebuiltwithdrupal.com/
chelou non ?
http://hadopi.fr/informations-legales-et-editoriales.html
et quand on va ici, il disent que non :
http://isthissitebuiltwithdrupal.com/
chelou non ?
Quand un site est vraiment gros, c'est souvent le cas. L'équipe à du simplement ce faire chier à renommer le nom de tout les div du système.
cob59 a écrit :
Vous faîtes vraiment toute une montagne d'une taupinière.
Vous faîtes vraiment toute une montagne d'une taupinière.
Ce n'est pas une taupinière...
1. T'envoit un lien à un utilisateur vérolé par un XSS
2. L'utilisateur clique sur le liens, et ce fait XSSER
3. Ton XSS ( un fichier javascript ), récupère le cookie de l'utisateur.
4. Tu remplace ton cookie par celui de l'utilisateur sur le site cible.
5. Et voila, tu à "volé" le compte de l'utilisateur.
Pour un utilisateur, c'est pas bien grave, mais pour un admin, c'est déja plus sérieux.
INpactien
c'est marrant passkeu ici ils disent que le contenu est géré avec Drupal :
http://hadopi.fr/informations-legales-et-editoriales.html
et quand on va ici, il disent que non :
http://isthissitebuiltwithdrupal.com/
chelou non ?
http://hadopi.fr/informations-legales-et-editoriales.html
et quand on va ici, il disent que non :
http://isthissitebuiltwithdrupal.com/
chelou non ?
C'est bien du drupal (cf source de la page) et comme dit Cyber_zergo ça arrive.
parfois dans le but de limiter les attaques des "script kiddies" (qui disent quoi ?) pas d'identification de drupal lors d'une recherche automatique de sites employant ce cms et donc moins d'attaques
parfois pour d'autres raisons plus ou moins obscures...
INpactien
Cyber_zergo
Le mardi 5 octobre 2010 à 09:01:48
#63
Inscrit
le vendredi 10 octobre 08
-
1167
commentaires
[quote]parfois pour d'autres raisons plus ou moins obscures.../quote]
Par contre c'est dtc pour être up to date rapidement non ?
Par contre c'est dtc pour être up to date rapidement non ?
INpactien
@Gui & C_Z:
La faille XSS en question concerne juste l'exécution d'un javascript:alert(). C'est pour ça qu'il est qualifié de très minime. A part faire afficher "JEWS DID 9/11" sur un autre poste client, le pirate ne pourra pas faire grand chose.
La faille XSS en question concerne juste l'exécution d'un javascript:alert(). C'est pour ça qu'il est qualifié de très minime. A part faire afficher "JEWS DID 9/11" sur un autre poste client, le pirate ne pourra pas faire grand chose.
INpactien
Vous faîtes vraiment toute une montagne d'une taupinière.
La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.
Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.
Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
INpactien
@Gui & C_Z:
La faille XSS en question concerne juste l'exécution d'un javascript:alert(). C'est pour ça qu'il est qualifié de très minime. A part faire afficher "JEWS DID 9/11" sur un autre poste client, le pirate ne pourra pas faire grand chose.
La faille XSS en question concerne juste l'exécution d'un javascript:alert(). C'est pour ça qu'il est qualifié de très minime. A part faire afficher "JEWS DID 9/11" sur un autre poste client, le pirate ne pourra pas faire grand chose.
beh le alert , tu peux très facilement le remplacer pour voler un cookie d'authentification, ou même inclure une iframe dans la page qui va charger un site vérolé, etc.
INpactien
beh le alert , tu peux très facilement le remplacer pour voler un cookie d'authentification, ou même inclure une iframe dans la page qui va charger un site vérolé, etc.
Pas forcément.
Parfois on peut injecter du code JS arbitraire, parfois on peut seulement modifier les paramètres d'une méthode (ici un alert()). Tout dépend du type de faille.
INpactien
Pas forcément.
Parfois on peut injecter du code JS arbitraire, parfois on peut seulement modifier les paramètres d'une méthode (ici un alert()). Tout dépend du type de faille.
Parfois on peut injecter du code JS arbitraire, parfois on peut seulement modifier les paramètres d'une méthode (ici un alert()). Tout dépend du type de faille.
Beh en l'occurence c'est une faille de type XSS (qui ne se résume pas à un simple "alert()") qui permet par définition d'exécuter n'importe quel code javascript. Du coup le vol de cookie de session ou l'ajout d'une iframe est tout à fait possible.
Après je suis d'accord pour dire l’intérêt de pirater ce genre de site est plus que limité.
M'enfin, c'est assez ironique de voir sur le site d'une administration chargée de pointer du doigt les négligences de sécurité, présenter précisément des "négligences de sécurité".
Et je parle de négligence d'autant plus que le site est fait sous Drupal qui propose une API (ainsi q'un module "Webforms") qui intègre les parades à ce genre de faille.
INpactien
Toutes les failles XSS ne sont pas critiques. Celle-ci, en l’occurrence, ne l'est pas.
[quote:article]Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt.[/quote]
Comme je le disais, tout dépend du type de faille XSS.
[quote:article]Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt.[/quote]
Comme je le disais, tout dépend du type de faille XSS.
INpactien
Toutes les failles XSS ne sont pas critiques. Celle-ci, en l’occurrence, ne l'est pas.
Comme je le disais, tout dépend du type de faille XSS.
Comme je le disais, tout dépend du type de faille XSS.
Ajoute la phrase suivante à ton quote.
Sinon à partir du moment ou tu peux rajouter et donc faire exécuter n'importe quel code javascript, tu as une faille XSS qui donc te permet de faire tout et n'importe quoi.
Il suffit ici de remplacer le alert par une truc dans le genre "document.body.appendChild(dangerousIframe)" et le tour est joué.
Edité par saga9 le mardi 5 octobre 2010 à 14:50
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] Quand Google cache des poneys dans...](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui -
Adobe Reader Touch pour Windows 8 peut enfin imprimer
(3)
Une meilleure version que la classique
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
