Faille : "Sea Surf" (XSRF/CSRF)

Section concernée : Tout le site
URL : les pages produisant des actions sensibles (ajout d'un message, modification d'un paramètre, ...)
Comment reproduire le bug : soumettre des liens dangereux, utiliser le système d'avatar (autorisant les URL externe : danger !!), voire utiliser des pages externes contenant du javascript
Erreur se produisant : les possibilité sont nombreuses. On peut utiliser le système d'avatar pour entraîner des déconnexions massives des utilisateurs, envoyer des liens dangereux actionnant certaines actions (je vais pas les lister ), voire, avec un peu de code javascript, soumettre des formulaires à la volée sans l'accord de l'utilisateur (il y a probablement une limitation grâce au système anti-flood, mais celui-ci ne protégera que des envois massifs de type SPAM).


Si vous voulez que je concocte une petite page pour vous montrer comment utiliser tout ça, je peux , mais par MP ... sinon ça pourrait donner des idées à certain.
Il existe des protections efficaces pour contrer ces attaques, elles sont assez rébarbatives à mettre en place et ça peut prendre pas mal de temps pour le SDZ vu le nombre de formulaires.


La parade est la suivante :

• pour toutes les actions ayant des répercussions permanentes (modification, ajout, suppression), effectuer la reqûete via un formulaire plutôt qu'un lien (on transforme les GET en POST).
• Utiliser un TOKEN pour s'assurer que le formulaire a été soumis par l'utilisateur et non par un script automatique.

pour toutes les actions ayant des répercussions permanentes (modification, ajout, suppression), effectuer la reqûete via un formulaire plutôt qu'un lien (on transforme les GET en POST).

Déjà fait


Token => non car cette pseudo faille est présente sur tous les sites du web, on ne va pas réinventer le web.

C'est pas une pseudo faille ! C'est pas aprce que peu nombreux sont les sites qui s'en prémunissent, qu'elle doit être prise à la légère.

Si je fais une page contenant un formulaire auto-soumis par du javascript, et que tu visites cette même page, je peux te faire faire tout ce que je veux , y compris élever mes droits au rang d'admin (mais il me faut connaitre les infos du formulaire en question).

De même pour le bouton de déconnexion, si quelqu'un le mets comme avatar et qu'il y a du coup des déconnexions de tout ceux qui tentent d'afficher l'avatar ... tu rigoleras moins je pense

Ça s'appelle une faille, si tu veux pas t'en prémunir, fait comme tu le sens, mais après faut pas s'étonner du nombre de sites défacés .

Et puis le coup du token, c'est pas très compliqué à mettre en place ... comme les actions ayant des répercutions ne sont faites que par des membres connectés, il suffit de générer un token pour toute la durée de la session, et de le mettre dans tous les formulaires du site. Ce n'est que du copier collé ... Ça va vite quand on a un système de templates !

En tout cas, tu vas m'expliquer comment tu mets du JavaScript ou du HTML dans une image par exemple.

Détrompe toi, un token c'est très lourd à mettre en place.

Euh... Quelqu'un pourrait m'expliquer en quoi consistent ces "failles" (ici ou par MP si vous préférez) svp ? J'arrive pas à comprendre la faille décrite...

Il peut exister de nombreuses failles, mais par exemple, on peut logiquement imiter n'importe quel formulaire avec un action= qui pointe vers la page de traitement sur le SdZ, ce qui aurait pour conséquence, si le visiteur est connecté au site, de modifier à son insu (ou presque) ses paramètres. Mais on est pas là pour expliquer les failles, le codeur les connaît, et ça pourrait donner de mauvaises idées.

Bon bin voila moi ce que j'utilise.
J'ai créé 2 fonctions qui font tout le boulot qu'il faut, il suffit de les appeler au bon endroit :
Code : PHP - Afficher / masquer les numéros de ligne

Le token créé est stable durant toute la durée de la session, il est regénéré à chaque nouvelle connexion (de même si connexion automatique, par cookie). Il faut ensuite transformer tous les liens produisant des actions "significatives" en formulaires (c'est pas bien compliqué !), si on utilisait des images, la modification est invisible, si on utilisait du texte dans le liens, on aura un joli bouton .
On ajoute dans les formulaires sensibles un champ caché contenant le token :Code : HTML - Afficher / masquer les numéros de ligne
Et enfin avant chaque traitement de formulaire on lane la fonction de vérification :Code : PHP - Afficher / masquer les numéros de ligne

C'est pas très compliqué et ça prémuni des attaques. Dans ce système, seul les membres ont accès au système de token. Mais de toute façon, les visiteurs n'ont pas d'actions délicates à commettre.

1337833K > pour le coup des avatars je suppose ? Dans ce cas le "sea search" ne se manifeste que par l'activation d'un lien, on ne peut pas manipuler de formulaires. Ce dernier cas nécessite que l'utilisateur ayant les droits nécessaire à l'action visite une page piégée. Ça repose donc en très faible partie sur du social engineering.

Zopieux > on ne fait pas de la sécurité en masquant les failles de sécurités mais en mettant en place des protections bien réels !

Vinc14 > va lire l'article suivant, il explique bien le principe du "sea surf"
introduction au sea surf


EDIT: à mon humble avis on ne communique pas assez sur ce genre de faille ! Alors qu'on est sensibilisé aux injections SQL et aux failles XSS, on passe trop souvent à coté de celle-la ...

J'ai pas dit le contraire, Jeremie78, mais si tu donnes un article détaillé de Comment powner le SdZ en trois clics, tu es certain que les Zér0s un peu curieux s'amuseront à essayer ta technique et à faire chier le monde.

A moins de connaitre les paramètres des formulaires "sensibles", tu auras un peu de mal à te promouvoir admin. par contre tu peux t'amuser à faire poster par d'autres personnes des messages sur le forum par exemple.

1) Créer une page piégée avec des iframes (1 frame = 1 formulaire) contenant du code javascript (il s'occupe de soumettre les formulaires)
2) envoyer le plus de zéros possibles sur cette page. Il faut, pour ne pas éveiller les soupçons mettre un contenu sur cette page et mettre masquer le iframes (mettre 1 pixel pour largeur et hauteur)

Pour le coup de l'avatar, c'est un peu plus complexe, il faut passer par un script PHP.
1) Créer un script PHP qui affiche une image bidon de petite taille et de poids faible.
2) utiliser l'adresse de ce fichier PHP comme avatar (le site télécharge l'avatar et remarque que ses dimensions son correctent, il l'accepte)
3) Modifier le script PHP pour effectuer une redirection vers le page de deconnexion

Le tour est joué, tout ceux qui verrons votre avatar seront deconnectés.

Moi j'appelle ça des failles . Il n'y a pas assez de contrôle sur le contenu fournit pas l'utilisateur. Le manque de vérification est ce qui entraine les attaques ...

Les parades à ces 2 attaques sont simples :
- pour le coup des formulaires, utilisation du système de token comme expliqué plus haut
- pour les avatars, interdire les URL externes. les avatars sont stockés obligatoirement sur le site.

Je trouve cela idiot d'interdire les URL externes, ça peut être utile. Et, à mon sens, je n'ai jamais vu de faille ce genre depuis que je navigue sur le SdZ, c'est-à-dire depuis relativement longtemps.

Si tu veux je mets en pratique la faille des avatars devant tes yeux ... tu seras déconnecté !
Mais je vois pas l'intérêt de mettre le bordel sur un site que j'aime bien .

Si tu regardes le lien de déconnexion, il inclut l'id du membre, donc tu peux uniquement viser un membre

Oui en effet ... bon bin tu peux au moins embêter un membre en particulier (ça devient moins intéressant en effet)

Euh pour l'histoire de l'avatar, t'es sûr que ça marche sachant qu'une fois l'image sur le site, il ne s'agit plus d'un script php mais belle et bien de l'image générée, rendant donc inutile une modification du script php situé sur un autre serveur. (ou j'ai rien compris.)

the_fear > je crois que tu as pas bien compris
le script PHP comme il est sur ton site tu peux toujours le modifier.

Si tu récupère les avatars, tu ne récupère que des images, donc comme elles sont stockées sur le serveur, tu empêches les problèmes de sea surf

Ah oui non j'ai rien dis, je savais même pas que l'on pouvait indiquer un avatar situé sur un autre serveur que celui du site du zéro. (d'où mon étonnement quand à cette histoire de modifier un script PHP qui du coup n'est plus en relation si l'avatar est hébergé sur le serveur du site.)

Bon bah j'ai compris donc, je connaissais pas cette histoire c'est sympa, faudra que je test un jour. (en local bien entendu lol)

Ah j'ai compris ! Donc, si je comprends bien, tu mets ça dans l'image :
Code : PHP - Afficher / masquer les numéros de ligne
C'est ça ? Si ça marche, en effet, c'est une faille très dangereuse ...

Oui, sauf qu'en l'occurence, comme mt9 l'a fait remarqué, le sdz fait en sorte que a limite cette action à 1 seul membre dont on a l'ID au préalable.

Euh juste comme ça, le fichier PHP qui génère donc l'avatar, il a un REFERER de la page visité sur le moment ou celui de la page précédente ?

Hum, pour générer une image PHP il faut mettre un header disant qu'on va générer du PNG par exemple. Il me semble que le 3è paramètre de header() est un booléan pour qu'un fichier PHP puisse avoir 2 headers mais c'est pas dit que ça marche.

Bon, j'ai testé plusieurs fois en local, et je n'ai pas réussi à réaliser cette faille. Tu es sur que c'est possible ?

EDIT: J'ai réussi, c'est hallucinant comme c'est dangereux et puissant ... Et même pas besoin de PHP ni de redirection ...

Moi j'aurai juste interdit les images autre que de vraies extensions d'images permises. Je sais c'est chiant surtout sur un site de développeur, mais tu n'est sur de pas avoir de problèmes.

Et euh, c'est sur que tu pourrais arriver à faire deux trois trucs (supprimer le tuto d'un user), mais comme tu connais rien aux scripts d'admin, tu peux rien faire sur les administrateurs/validateurs/modérateurs (encore modérateurs tu peux essayer de deviner) et donc c'est pas une faille très importante (pour supprimer des tutos faut trouver les bons gens à faire venir sur les bons liens... autant lui piquer sa PHPSESSID sur un lien externe ça reviendra au même).

J'ai uploadé un fichier PHP qui contient "<?php header("Location : http://www.siteduzero.com/") ?>", lorsque je vais sur la page je suis redirigé mais lorsque je tente d'insérer une image ayant l'url du fichier uploadé (sur un autre site mais dans mon profil juste pour tester) je suis pas redirigé... Par contre la même chose mais cette fois dans le fichier : "<?php $file = fopen("test", "w"); fclose($file); ?>" et le fichier "test" a été créé sur mon FTP !

Citation : Vinc14

Je pense que ça sert à rien de dire tous vos tests et vos réussites. Tout le monde sait ce qu'on peut faire, pas besoin d'en faire 10posts pour dire "j'ai réussi", "j'ai pas réussi", "uahhh trop puissant", "ah uééé la big de faille!!!".

Karamilo viendra dire ce qu'il en pense de ce que le monsieur qui a signalé le bug a dit, a donné comme fonctions et les quelques pauvres idées qui en sont sorties. Sert à rien d'encombrer le topic après.

EDIT :
Je répond au message juste en-dessous :
...
Mais là que veux-tu faire avec ça ?
Déconnecter, wahou...
C'est pas du code opensource, tu connais pas l'architectures des pages, alors tu pourras faire des trucs à petite échelle, pas à grandes échelles comme sur des CMS par exemple.

Bah, en même temps, c'est un peu la faille de la mort qui tue vu que tu peux faire faire des requêtes GET par un autre membre.

<snip> (rien dit)

the_fear > De la page visitée sur le moment.1
1337833K > tu peux aussi faire des POST

Concernant cette faille, ce qui me dérange est l'inaction des webmaster. ils considèrent que comme ils ne sont pas (encore) touchés, alors elle n'es pas utilisée ... ce qui st évidemment faux !

Citation
Regarde les rapports de bug, on a parfois des URL de pages admin, de suppression de membres, d'édition de tutos, etc.

Je suis d'accord aussi avec le fait que tu as des liens admins.
Mais ils sont protégés par un .htaccess il me semble.
Hors il faudrait que l'admin (se) soit loggué sur l'admin et qu'il lise ton topic en même temps pour espérer faire un truc avec les pauvres liens que tu connais de tes reports de bugs.

Dans le moindre lien de déconnexion tu as l'id du membre.
D'accord tu peux la chopper facilement, mais déjà ça complique un peu les choses.
En 3 ans elle a a jamais été utilisée Si c'était critique comme Jérémy le pense ça serait déjà utilisé et réparé.