Filtrer ok

30% des sites web présenteraient une faille exploitable

Marco Balduzzi, un chercheur italien spécialisé dans la sécurité Internet, a découvert une faille potentiellement exploitable sur près de 30% des sites Internet sur la Toile.

Nous connaissions les attaques cross-scripting (XSS) qui consistent à injecter un script malveillant au sein du code HTML ou encore les injections SQL, compromettant la base de données d'une application web. Voici désormais une nouvelle menace baptisée HPP (HTTP Parameter Pollution). Dans un papier qui sera présenté demain lors du sommet annuel du Black Hat, regroupant l'ensemble des experts de sécurité, M. Balduzzi explique qu'' une vulnérabilité HPP permet à un hacker d'injecter un paramètre au sein des URL générées par une application web '.

[S4089884W300 Nature d'un lien de sondage avant et après une attaque

L'attaque consiste à modifier un paramètre précédemment configuré en ajoutant un second disposant d'une dénomination similaire mais d'une valeur différente. Interrogé par le magazine Forbes, Marco Balduzzi déclare ainsi : ' vous pouvez changer la valeur écrite au sein d'une application et lui demander d'opérer une action qu'elle n'est pas censée faire '. Le spécialiste ajoute que les conséquences de cette attaque sont étroitement liées au fonctionnement du service web ciblé. ' Si vous contrôlez les paramètres vous pouvez faire n'importe quoi ', ajoute-t-il.

Google, Facebook, Paypal, Microsoft mais aussi Symantec présenteraient des pages web vulnérables à cette attaque et ont été avertis par le spécialiste. En publiant son rapport (PDF), ce dernier souhaite alerter la communauté. Les vulnérabilités HPP ont été découvertes il y a deux ans et pourraient donc être exploitées à grande échelle.
Message edité le 16/03/2011 à 12:29
 
 
De ce que j'en comprends, ça reste une forme de XSS. C'est très répandu mais les possibilités d'exploitation sont extrêmement limitées. Pas de quoi en faire tout un foin
Modérateur Actualités
 
 
LaTeamClubic a écrit:
Google, Facebook, Microsoft mais aussi Symantec présenteraient des pages web vulnérables à cette attaque et ont été avertis par le spécialiste. En publiant son rapport (PDF), ce dernier souhaite alerter la communauté. Les vulnérabilités HPP ont été découvertes il y a deux ans et pourraient donc être exploitées à grande échelle.

Dans son article M. Balduzzi écrit "Google, Paypal ...", c'est une omission volontaire ou un simple oubli de la part de Clubic ??? (parce que moi, franchement ça m'inquiète plus que Paypal soit un gruyère que Facebook ...).
 
 
@stfr : peut-être plus un oubli qu'un énième complot organisé par la rédaction
 
 
Message supprimé le 16/03/2011 à 13:43 pour le motif suivant : Message non constructif/hors sujet.
 
stfr -> tu m'étonnes!
 
 
Tout site un tant soit peu sérieux, faisant de l'url rewriting et un contrôle d'intégrité d'url (Redirect 404 si l'url n'est pas celle attendue) est protégé contre cette faille.

Moralité : C'est vraiment une faille pour les n00bs... :O
 
 
J'ai déjà vu des site avec une verif de formulaire en js... mais pas en php/asp derrière ! Or le js, ca se désactive. Ceux qui font cette erreur, sont bien capable de laisser d'autres vulnérabilités comme du XSS ou donc du HPP
 
 
CyberDenix tout n'est pas si simple, même le forum cluclu était sensible à un XSS il y a encore peu de temps.. (c'est maintenant corrigé c'est pour cela que je nomme) alors faut pas être si catégorique, c'est souvent comme ça qu'on se fait avoir. Ensuite, c'est sûr qu'il y a des règles de base pour éviter d'être vulnérable à des failles "connues".
 
 
Je suis en train de concevoir mon site perso en HTML, je vais me faire du mourrons tiens maintenant ^^XD
 
 
Contacter le membreVoir profil
Membre1663788
Message supprimé.
Edité le 26/04/2011 à 18:45
 
 
Marco réinvente la roue ?
Il n'y a rien de nouveau à bidouiller une URL, que ça soit GET, POST ou masqué parce que AJAX.
Edité le 16/03/2011 à 13:15
 
 
EDIT: question bete...

Par contre dans l'exemple, l'interet est nul vu que c'est le deuxième paramètre qui reprendra la priorité...
En revanche si les parametres avaient été inversés ca aurait été efficace.

Pour ceux qui ont encore du mal a saisir: le but n'est pas de leurrer le programme ou de l'attaquer, mais par exemple de donner un lien corrompu a quelqu'un d'autre, quelque soit le choix qu'il fera dans le sondage, le vote sera compté pour le candidat "green"
Edité le 16/03/2011 à 13:21
 
 
Ceci n'est pas nouveau, changer le code source d'une page afin de changer le prix d'un item vendu via Paypal ce fait facilement.

Paypal, réveillez vous!!!
 
 
Donc, ce n'est qu'une vulgaire faille XSS qui existe depuis la nuit des temps et Marco fait son Super-Man alors qu'en réalité il n'a rien trouvé, ou devrais-je dire, qu'il est enfin sorti de sa grotte?
 
 
CyberDenix a écrit:
Tout site un tant soit peu sérieux, faisant de l'url rewriting et un contrôle d'intégrité d'url (Redirect 404 si l'url n'est pas celle attendue) est protégé contre cette faille.

Moralité : C'est vraiment une faille pour les n00bs... :O


Donc tu es meilleur que tous les devs de Google, Facebook, Paypal, Microsoft mais aussi Symantec rassemblés?

Rabscuttle a écrit:
Ceci n'est pas nouveau, changer le code source d'une page afin de changer le prix d'un item vendu via Paypal ce fait facilement.

Paypal, réveillez vous!!!

Et si tu leur envoyais un mail au lieu de le dire ici, c'est tout de même grave?
 
 
Contacter le membreVoir profil
KP2
casselinux a écrit:
Donc, ce n'est qu'une vulgaire faille XSS qui existe depuis la nuit des temps et Marco fait son Super-Man alors qu'en réalité il n'a rien trouvé, ou devrais-je dire, qu'il est enfin sorti de sa grotte?

J'aime bien les mecs qui trouvent le moyen de juger l'intervention d'un specialiste invité a la BlackHat en lisant une simple news de qq lignes sur un site de vulgarisation informatique
 
 
Je ne comprend pas, il ne fait que modifier la valeur d'un paramètre dans le code HTML, donc si cette valeur est vérifiée ensuite par du PHP il n'y aura aucun problème non ? c'est la même chose que les injections SQL si on protège les chaines ...

Par contre pourquoi dupliquer les paramètres, je ne vois qu'une seule raison: le javascript controle le dernier element portant ce nom, alors que le serveur lui réceptionne que le premier, ca permet de sauter les protections JS (inutiles niveau sécurité vu que le JS peut se changer sur le client mais bon)...
 
 
Message supprimé le 16/03/2011 à 17:33 pour le motif suivant : Message non constructif/hors sujet.
 
Message supprimé le 16/03/2011 à 17:33 pour le motif suivant : Réponse à un message supprimé.
 
     
Vous devez être connecté pour écrire un message !

BE GEEK ! Avec clubic