Est-ce que vous connaissez le XSS (Cross-Site Scripting) ? Logiquement, ça aurait dû s'appeler CSS mais l'acronyme était déjà utilisé pour identifier les feuilles de styles (Cascading Style Sheets).
Une attaque XSS représente une vulnérabilité d'un site à pouvoir injecter du code, souvent malicieux, à l'intention des visiteurs. Souvent, ça se caractérise par l'ajout de code JavaScript qui s'exécute ou une librairie JS qui est intégrée dynamiquement au contenu de la page. Comme on peut inclure un fichier hébergé sur un autre serveur, le hacker peut contrôler à distance les actions voulues.
Par exemple, j'ai remarqué que la faille était présente dans la boîte de recherche des onglets Blogs et Top Blogs de Wikio.fr. Qu'est-ce que ça permet de faire ? Au lieu de chercher des mots clés, entrez le code JavaScript suivant, incluant les balises :
<script>alert('bonjour');</script>Vous remarquerez qu'une fois la recherche lancée, le terme inscrit fait parti de l'URL pour devenir :http://www.wikio.fr/blogs/search/%3Cscript%3Ealert(%27bonjour%27)%3B%3C%2Fscript%3E
Et immédiatement en dessous, le breadcrumb affiche :
Wikio > Blogs > <script>alert('bonjour');</script>
Le problème, c'est que le code JavaScript est exécuté et une boîte d'alerte affiche "bonjour". Ceci est rendu possible parce que l'élément recherché est récupéré tel quel et que le terme est ensuite affiché dans la page pour montrer ce qui a été inscrit par le visiteur.
Comment le régler ?
Sachant que la programmation est en PHP, il semblerait que la configuration magic_quotes_gpc de php.ini soit à "off". Dans le cas contraire, ça aurait limité les possibilités puisque les caractères auraient au moins été échappés (alert('bonjour') serait transformé en alert(\'bonjour\')). Aussi, la fonction PHP htmlentities() aurait pu contribuer à régler le problème en convertissant les balises SCRIPT en caractères HTML pour l'affichage.
Les possibilités...
Comme les paramètres font partis de l'URL et qu'ils sont interprétés, on peut se permettre d'appeler n'importe quelle fonction JavaScript, par exemple en provoquant une redirection :
<script>window.location="http://www.google.com";</script>Imaginez que je sois malintentionné et que je souhaite piéger des gens. Je n'ai qu'à construire un lien comprenant le code, l'obsfusquer avec un service comme TinyURL ou PetitURL et le diffuser sur différents forums de discussion.
Juste pour rire...
Cliquez sur le lien ci-dessous pour voir un exemple de redirection XSS: http://tinyurl.com/o3pjqn (c'est juré, rien de compromettant ou de dangereux!). Vous pouvez désactiver le JavaScript de votre fureteur pour voir ce qui se passe.
Dans votre programmation, ayez toujours en tête que ce genre d'attaque existe. Tous les endroits où l'utilisateur peut entrer quelque chose sont à risques. Ne permettez pas aux hackers de faire les bouffi-bouffons (référence aux Goonies)!
Mise à jour 2009-05-21
Suite à mon article d'hier, l'équipe de Wikio.fr a été très rapide à corriger la vulnérabilité XSS sur son site. Bravo! Ce n'est pas tous les jours que les développeurs fixent les failles aussi aisément.
Donc j'ai besoin d'un nouvel exemple pour illustrer ce qu'est le XSS. Des volontaires ? Heureusement (ou pas), ce ne sont pas les exemples qui manquent. Pour le trouver, je reviens chez nous au Québec, avec le site d'Archambault Musique. Le même code peut s'exécuter, la seule différence est que le site est programmé en JSP.
Voyez la prévisualisation de nouveau TinyURL Bouffi-Bouffon ou la redirection XSS instantannée.
Mise à jour 2009-06-19
Archambault a aussi corrigé le problème.
Qu'est-ce qu'ils ne trouvent pas drôle : la vulnérabilité ou la photo ?
:-D
Merci infinite loop,
Bien vu, nous avons colmaté ;)
A bientôt sur wikio
Bonjour,
Merci pour ton post, nous avons corrigé la faille.
Votre équipe a été rapide pour corriger l'erreur. Maintenant, je serai obligé de fournir un autre exemple ;-)