Cross Site Scripting


<< Les références directes Les injections SQL >>


Définition
   Le Cross Site Scripting, ou XSS, est la faille la plus présente sur le web, et d'assez loin. Elle est désignée par quantité de noms, parmi lesquels "faille des livres d'or", tout simplement car ceux-ci ont permi une généralisation de ces vulnérabilités faille. La faille de type XSS se caractérise par une injection possible de code arbitraire dans le code HTML qui sera rendu au navigateur. Autrement dit, l'attaquant va être capable de modifier un aspect du site ou d'injecter des scripts dans ce que la victime va ensuite voir à l'écran. Il existe plusieurs types de failes XSS :
  • Le type connu en tant que type 1, ou vulnérabilité réfléchie résulte de l'utilisation de données fournies par l'utilisateur dans un script quelconque, sans les modifier. Typiquement, une simulation en ligne ou une page de statistiques. Ainsi, si ces données ne sont pas modifiées, on peut ajouter du "script dans le script" qui sera lui-même éxécuté.
    Ceci dit, en modifiant les données qui doivent être traitées, le résultat du XSS ne va modifier que la page que peut afficher l'utilisateur. Cela peut paraître bénin, mais ça l'est beaucoup moins quand l'attaquant utilise le Social Engineering et diffuse des pages piégées de cette façon. Ce genre de vulnérabilités est souvent utilisé pour lancer des campagnes de spam afin de ternir l'image d'un site (redirections, modifications d'apprence) ou de voler des informations (phishing).
  • Le type 2, ou vulnérabilité persistente ou du second ordre, permet des exploitations plus en profondeur. C'est la faille des livres d'or, présente dans les forums, les formulaires d'inscription. La différence essentielle est que les données entrées sont stockées dans des bases de données et sont renvoyées dès qu'un utilisateur les demande. Par conséquent, on peut affecter n'importe qui sollicitera un certain sujet dans un forum ou la liste des pseudos enregistrés, etc.. Cette faille peut permettre des éxécutions côté client ou côté serveur selon les cas et peut permettre tout type d'exploitation, de la récupération de cookies à l'éxécution de scripts malveillants. On a vu des XSS intégrés à des bases de données institutionnels rendant inaccessibles des dizaines de sites dépendants de ces contenus.
  • Enfin, le type 0, connu comme le DOM-based ou local cross scripting site est un problème directement sur le script côté client (en général, le javscript) de la page (variables passées en URL qui sont réutilisées dans le javascript, etc..). Cette vulnérabilité est soit exploitée à nouveau par Social Engineering, soit par liens interposés dans lesquels on injecte du code qui sera ensuite éxécuté côté client. Celui-ci est finalement très sensible au type I et est très répandu et facilement repérable, notamment par des scanners automatisés.
Un petit exemple
   Nous allons illuster ceci avec un XSS de type 2. Voici un exemple de site contenant trois pages : index.php est la page d'inscription à une mailing list, list.php est la page qui contient la liste des membres de la liste. Enfin, inscription.php est une page fantôme à laquelle est envoyé le mail du nouvel inscrit qui vérifie brièvement si il s'agit d'un email valide et qui l'enregistre dans la base de données.
    <!-- index.php - Bases Hacking Mailing List -->

    <html>

    <head>
      <div align="center"><h1>Bases Hacking Mailing List !</h1></div>
      <title>Faille de type Cross Site Scripting</title>
    </head>

    <body>
    <br>
    <ul>
    <li>Inscrivez-vous en un clic :<br>
      <div align="center">
        <form method="POST" action="./inscription.php">
          <font size="-1">E-mail : </font><input type="text" name="adresse" value="Votre mail ici"><br>
          <font size="-1">Apparition sur la liste des inscrits ?</font><input type="radio" name="anonyme"><br><br>
          <input type="submit" name="envoi" value="Inscrivez-vous !">
        </form>
      </div>
    </li>
    <br><br>
    <li>
      Vous pouvez consulter la liste des personnes déjà inscrites <a href="liste.php">ici</a>
    </li>
    </ul>
</body>

</html>



<!-- liste.php - Liste des inscrits -->

<html>

<head>
    <div align="center"><h1>Bases Hacking Mailing List !</h1></div>
    <title>Faille de type Cross Site Scripting</title>
</head>

<body>
    <br>
    <ul>
    Voici la liste des inscrits non-anonymes : <br><ul>

    <?

      @mysql_connect("localhost", "serioushack", "motdepassemysql") or die("Impossible de se connecter à la base de données");
      @mysql_select_db("mailing_list") or die("Table inexistante");

      $nombre = mysql_query("SELECT * FROM list Where anonyme=0;");

      if (mysql_numrows($nombre) > 0)
        for ($Compteur=0 ; $Compteur<mysql_numrows($nombre) ; $Compteur++)
        {
          $mail = mysql_result($nombre , $Compteur , "AdrMail");
          echo "- ".$mail."<br>";
        }

      else echo "Aucun inscrit non-anonyme pour le moment<br>";

      mysql_close();
    ?>

    </ul>
    <br>

    Pour retourner au formulaire d'inscription, c'est <a href="./">ici</a></ul>
</body>

</html>



<!-- inscription.php - Inscription d'une adresse mail -->

<?

    $email = $_POST["adresse"];
    $anonyme = $_POST["anonyme"];

    if ($anonyme == "on") $anonyme = 0;
    else $anonyme = 1;

    for($i=0; $i < strlen($email) ; $i++)
      if ($email[$i] == '@' && $i < strlen($email) - 4)
        for($j = $i + 1 ;$j < strlen($email) - 2 ; $j++)
          if ($email[$j] == '.' && ($j >= strlen($email) - 5 || $j <= strlen($email) - 3)) { $validite=true; $i=$j=strlen($email); }

    if (isset($validite)) {

      @mysql_connect("localhost", "serioushack", "motdepassemysql") or die("Impossible de se connecter à la base de données");
      @mysql_select_db("mailing_list") or die("Table inexistante");

      $nombre = mysql_query("INSERT INTO list values('$email',$anonyme);");

      mysql_close();

      header("Location: ./liste.php");

    }
    else header("Location: ./");


?>

Nous n'allons pas expliquer le code en détail, car il n'y a aucun intérêt à celà : il demande la saisie d'une adresse mail, il l'enregistre si elle possède bien un '@', un . et une extension entre 2 et 4 caractères. Ensuite, la page liste.php ressort les adresses de la base de données.
Nous préférons vous montrer le but de ces pages avec quelques screenshots. Tout d'abord, voici ce qui se passe quand tout se passe bien :

Inscription normale (page d'inscription + liste des utilisateurs)


Nous allons maintenant profiter de la faille qu'offre ce site et nous allons injecter le script <script>alert("S3ri0usH4cK WuZ H3r3")</script>@h4ck3d.com et voir ce qui se passe :

Exploitation XSS (page d'inscription + liste des utilisateurs)


Comme l'on pouvait s'y attendre, le script est éxécuté tel quel et tout utilisateur voulant voir la liste des utilisateurs de la mailing liste verra le petit code que nous avons injecté.
Nous ne donnerons pas d'exemple de scripts XSS malveillants ici, le net en est rempli. Ils demandent juste la connaissance des langages de scripting du web.

Souvent délaissée par les programmeurs, cette faille est à prendre au sérieux d'autant qu'elle est facile à corriger. Un court article de recommandations de programmation Web sécurisée vous donnera plus d'informations sur les bonnes pratiques permettant d'éviter ce genre de failles.

<< Les références directes Les injections SQL >>



55 Commentaires
Afficher tous


Anonyme 01/03/14 18:02
Super tuto bien expliqué ce qui est compliqué c'est de suivre. Superbe

Anonyme 11/12/13 13:28
Si j'ai tout bien compris, le code javascript est inséré dans la base et s'exécute côté client lors de l'affichage des données partagées... simple et efficace ^^ . Malheur à celui qui n'échappe pas les caractères spéciaux avant un INSERT...

ben 10/12/13 08:49
Votre cours est très bien fait. Mais pour le noviste que je suis, je le comprends difficilement.

D-Cl1ne 13/09/13 12:13
Superbe tutos l'ami, ça me parle énormément.

Un grand merci de t'être donné la peine de les écrire.

Cheers, D-Cl1ne




Commentaires désactivés.

Apprendre la base du hacking - Liens sécurité informatique/hacking - Contact

Copyright © Bases-Hacking 2007-2014. All rights reserved.