S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée

Faye

Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui  « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia  », l'éditeur d'Hadopi.fr

hadopi

L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)

hadopi formulaire 

Marc Rees

Journaliste, rédacteur en chef

Publiée le 04/10/2010 à 10:51

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 76 commentaires

Avatar de Cyber_zergo INpactien
Cyber_zergo Le mardi 5 octobre 2010 à 00:23:20
Inscrit le vendredi 10 octobre 08 - 1167 commentaires
c'est marrant passkeu ici ils disent que le contenu est géré avec Drupal :
http://hadopi.fr/informations-legales-et-editoriales.html
et quand on va ici, il disent que non :
http://isthissitebuiltwithdrupal.com/
chelou non ?


Quand un site est vraiment gros, c'est souvent le cas. L'équipe à du simplement ce faire chier à renommer le nom de tout les div du système.

cob59 a écrit :
Vous faîtes vraiment toute une montagne d'une taupinière.


Ce n'est pas une taupinière...

1. T'envoit un lien à un utilisateur vérolé par un XSS
2. L'utilisateur clique sur le liens, et ce fait XSSER
3. Ton XSS ( un fichier javascript ), récupère le cookie de l'utisateur.
4. Tu remplace ton cookie par celui de l'utilisateur sur le site cible.
5. Et voila, tu à "volé" le compte de l'utilisateur.


Pour un utilisateur, c'est pas bien grave, mais pour un admin, c'est déja plus sérieux.
Avatar de johannes INpactien
johannes Le mardi 5 octobre 2010 à 07:24:32
Inscrit le dimanche 26 août 07 - 316 commentaires
c'est marrant passkeu ici ils disent que le contenu est géré avec Drupal :

http://hadopi.fr/informations-legales-et-editoriales.html

et quand on va ici, il disent que non :

http://isthissitebuiltwithdrupal.com/

chelou non ?


C'est bien du drupal (cf source de la page) et comme dit Cyber_zergo ça arrive.

parfois dans le but de limiter les attaques des "script kiddies" (qui disent quoi ?) pas d'identification de drupal lors d'une recherche automatique de sites employant ce cms et donc moins d'attaques

parfois pour d'autres raisons plus ou moins obscures...
Avatar de Cyber_zergo INpactien
Cyber_zergo Le mardi 5 octobre 2010 à 09:01:48
Inscrit le vendredi 10 octobre 08 - 1167 commentaires
[quote]parfois pour d'autres raisons plus ou moins obscures.../quote]

Par contre c'est dtc pour être up to date rapidement non ?
Avatar de cob59 INpactien
cob59 Le mardi 5 octobre 2010 à 10:34:43
Inscrit le vendredi 23 octobre 09 - 203 commentaires
@Gui & C_Z:
La faille XSS en question concerne juste l'exécution d'un javascript:alert(). C'est pour ça qu'il est qualifié de très minime. A part faire afficher "JEWS DID 9/11" sur un autre poste client, le pirate ne pourra pas faire grand chose.
Avatar de saga9 INpactien
saga9 Le mardi 5 octobre 2010 à 10:51:52
Inscrit le samedi 10 septembre 05 - 1268 commentaires
Vous faîtes vraiment toute une montagne d'une taupinière.

La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.

Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.

mdr2.gif
Avatar de saga9 INpactien
saga9 Le mardi 5 octobre 2010 à 10:55:16
Inscrit le samedi 10 septembre 05 - 1268 commentaires
@Gui & C_Z:
La faille XSS en question concerne juste l'exécution d'un javascript:alert(). C'est pour ça qu'il est qualifié de très minime. A part faire afficher "JEWS DID 9/11" sur un autre poste client, le pirate ne pourra pas faire grand chose.

beh le alert , tu peux très facilement le remplacer pour voler un cookie d'authentification, ou même inclure une iframe dans la page qui va charger un site vérolé, etc.
Avatar de cob59 INpactien
cob59 Le mardi 5 octobre 2010 à 12:24:11
Inscrit le vendredi 23 octobre 09 - 203 commentaires
beh le alert , tu peux très facilement le remplacer pour voler un cookie d'authentification, ou même inclure une iframe dans la page qui va charger un site vérolé, etc.

Pas forcément.
Parfois on peut injecter du code JS arbitraire, parfois on peut seulement modifier les paramètres d'une méthode (ici un alert()). Tout dépend du type de faille.
Avatar de saga9 INpactien
saga9 Le mardi 5 octobre 2010 à 14:06:47
Inscrit le samedi 10 septembre 05 - 1268 commentaires
Pas forcément.
Parfois on peut injecter du code JS arbitraire, parfois on peut seulement modifier les paramètres d'une méthode (ici un alert()). Tout dépend du type de faille.

Beh en l'occurence c'est une faille de type XSS (qui ne se résume pas à un simple "alert()") qui permet par définition d'exécuter n'importe quel code javascript. Du coup le vol de cookie de session ou l'ajout d'une iframe est tout à fait possible.

Après je suis d'accord pour dire l’intérêt de pirater ce genre de site est plus que limité.
M'enfin, c'est assez ironique de voir sur le site d'une administration chargée de pointer du doigt les négligences de sécurité, présenter précisément des "négligences de sécurité".
Et je parle de négligence d'autant plus que le site est fait sous Drupal qui propose une API (ainsi q'un module "Webforms") qui intègre les parades à ce genre de faille.
Avatar de cob59 INpactien
cob59 Le mardi 5 octobre 2010 à 14:21:42
Inscrit le vendredi 23 octobre 09 - 203 commentaires
Toutes les failles XSS ne sont pas critiques. Celle-ci, en l’occurrence, ne l'est pas.
[quote:article]Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt.[/quote]
Comme je le disais, tout dépend du type de faille XSS.
Avatar de saga9 INpactien
saga9 Le mardi 5 octobre 2010 à 14:50:23
Inscrit le samedi 10 septembre 05 - 1268 commentaires
Toutes les failles XSS ne sont pas critiques. Celle-ci, en l’occurrence, ne l'est pas.
Comme je le disais, tout dépend du type de faille XSS.

Ajoute la phrase suivante à ton quote.

Sinon à partir du moment ou tu peux rajouter et donc faire exécuter n'importe quel code javascript, tu as une faille XSS qui donc te permet de faire tout et n'importe quoi.
Il suffit ici de remplacer le alert par une truc dans le genre "document.body.appendChild(dangerousIframe)" et le tour est joué.


Edité par saga9 le mardi 5 octobre 2010 à 14:50
;