samedi 18 décembre 2010

Les failles Cross-Site Scripting: si communes et pourtant si méconnues !

Comme l’indique le site xss attacks information, les failles Cross-Site Scripting (aussi appelé XSS) sont toujours d’actualité bien qu’elles soient connues comme le "loup blanc" depuis de nombreuses années. Mais comme parfois avec ce qui nous est familier, nous en perdons le véritable signification et en oublions le risque. Je ne sais pas pour vous, mais pour moi c'est le cas!

A titre d’exemple, voici une capture d’écran du site de BP ayant subi une attaque XSS:

bpsucks

Nous allons dans ce qui suit décrire ce qu'est le XSS et les différentes formes qu'il peut prendre.

L'attaque "Stored XSS" ou “XSS permanent” dans laquelle le code injecté est stocké de manière définitive sur le serveur cible. Cette attaque peut être réalisé à deux conditons:

  • quand les informations transmises par un utilisateur sont stockées côté serveur (par exemple dans une base de données ou des fichiers)
  • quand ces informations stockées sont ensuite affichées de nouveau sans que les caractères spéciaux HTML aient été encodés.

C’est le cas d’un message écrit dans un forum qui peut être lu par des milliers de personnes.

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS permanent” sur le site Webgoat de l’OWASP:

ScreenShot044

L'attaque "Reflected XSS" ou “XSS non-permanent” dans laquelle le code injecté est transmis dans la requête et renvoyé par le serveur cible (i.e. utilisation d’un message d’erreur ou d’un outil de recherche).

Mais vous allez me dire que ce n’est pas un problème car l’utilisateur malicieux ne peut injecter du code que dans ses propres pages. Eh bien non! Prenons l’exemple d’un mail de phishing qui vous propose d’aller sur une page avec une URL qui contient le code XSS!

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS non-permanent” sur le site Webgoat de l’OWASP:

ScreenShot043

L'attaque "DOM Based XSS" ou “XSS local” dans laquelle le code injecté permet de modifier l’arbre DOM dans le browser de la victime permettant à la page web de se comporter différemment (i.e. phase d’authentification court-circuitée).

Comme précédemment un mail de phishing avec une URL prenant en compte la faille peut vous piéger.

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS local” sur le site Webgoat de l’OWASP:

ScreenShot042

Le XSS est également utilisé dans une attaque nommée Cross-Site Request Forgery ou CSRF. Un précédent article décrit précisément en quoi consiste cette faille et comment la mettre en oeuvre (voir l’article Cross Site Request Forgery par l'image!).

Source: toujours l’OWASP !http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Publié par Aucun commentaire:

samedi 11 décembre 2010

Comment lutter contre le SPAM sur nos téléphones!

Cela fait plusieurs fois que l’on me pose la question. Alors voici un court article donnant la marche à suivre dans le cas où vous recevez un spam sur votre téléphone.

Vous devez simplement connaître un numéro de téléphone: le 33700 et suivre le mode d’emploi ci-dessous:

ScreenShot046

33700 mode d'emploi

L'usager victime d'un SMS non sollicité aura la possibilité de transférer par SMS le message texte au numéro spécial 33700. Le message ainsi envoyé fera l'objet d'un accusé de réception de la part de la plateforme de traitement. Dans le cas d'un spam ou d'une arnaque avéré les opérateurs de téléphonies mobiles seront avertis. Les spammeurs risquent de se voir fermer leurs numéros surtaxés, pour les cas de nuisance grave les autorités pourront transmettre les informations recueillies aux services de police.

Les étapes sont les suivantes:

  1. L'utilisateur transfère le spam par simple SMS au 33700
  2. Le 33700 le remercie de cette alerte et l'invite à compléter son signalement (numéro de l'émetteur du spam)...
  3. La plateforme de signalement établit la liste des messages indésirables et des numéros surtaxés à rappeler, puis la transmet aux opérateurs mobiles et fixes.

Coût total de l'opération pour l'utilisateur du 33700 deux SMS non surtaxés. Si vous possédez un forfait SMS les deux SMS envoyés en seront décomptés, sinon ils feront l'objet d'une tarification normale de votre opérateur.

Source: 33700 - Spam SMS

Publié par Aucun commentaire:
Inscription à : Articles (Atom)

Partager avec...