Failles web : Les XSS
Transcription
Failles web : Les XSS
Failles web : Les XSS Failles web : Les bases Cross Site Scripting (XSS) Principe : ● Ajouter du code dans le corps d'une page Comment : ● Trouver un paramètre dont la valeur est utilisé dans le cadre de la génération de la page Failles web : Les bases Cross Site Scripting (XSS) 2 Types Réfléchies ● Stockées ● Failles web : Les bases Ouvrez un navigateur ● Entrez dans la barre d'adresse : http://192.168.1.169 ● Cliquez sur gare-numerique ● Puis sur failles-web ● Et enfin TP Failles web : Les bases Cross Site Scripting (XSS) XSS Réfléchies : Le code malveillant l'adresse de la page se trouve dans Failles web : Les bases Le site 3 parties : ● ● ● Accueil, affichage des derniers articles. Pas d'interaction possible. Recherche, permet de rechercher un article selon un mot clé. Recherche d'utilisateur possible également. Interaction possible via le formulaire de recherche. Administration, permet de se connecter à l'interface d'administration. Interaction possible via le formulaire d’identification Failles web : Les bases La page de recherche ● ● ● Présence d'un formulaire. Le mot clé recherché est rappelé dans la page contenant les articles correspondant à la recherche. Potentiellement un point d'entrée. Failles web : Les bases Failles web : Les bases Ne JAMAIS faire confiance à l'utilisateur Remplacez le terme hacking par <h1>test</h1> Failles web : Les bases Le mot test apparaît sous la forme d'un gros titre Failles web : Les bases Les cookies Petit fichier texte contenant des informations sur l’utilisateur. Permet à l'utilisateur de rester identifié sur un site et de voir ses paramètres sauvegardés par exemple. Exemple : prenom=Nicolas;ville=Jeumont Failles web : Les bases Afficher du texte ne servira à rien à un pirate. Il préférera : ● ● ● ● Obtenir vos cookies Vous rediriger sur d'autre sites (concurrents/vérolés) Rediriger la page appelée par un formulaire Exécuter des actions en utilisant vos droits sur le site Failles web : Les bases Comment ? En utilisant un langage "complémentaire" de l'HTML : le javascript Syntaxe : <script>code javascript</script> Le javascript permet d’interagir entièrement avec le contenu de la page : Ajouter / Supprimer / Modifier un élément. Failles web : Les bases Quelques exemples de code javascript : alert("Bonjour") ; Affichera une boite de dialogue contenant Bonjour alert(document.cookie) ; Affichera vos cookie window.location="http://perdu.com" Vous redirigera sur le site perdu.com Ces codes sont à placer entre <script>et</script> Failles web : Les bases Cross Site Scripting (XSS) XSS Stockées: Le code malveillant est enregistré sur le serveur (Forum, livre d'or etc ...)