Annonce

Réduire
Aucune annonce.

Faille CSRF

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Faille CSRF

    Salut à tous, je suis débutant dans le vaste monde de la programmation et je m'intéresse au hacking. Non pas pour emmerder mon monde mais pour comprendre comment ça marche. Je sais qu'il existe des logiciels déjà tout fait mais cela ne m'intéresse absolument pas ! J'ai découvert ce qu'est qu'une faille CSRF et je trouve ça extrêmement malin ! Si j'ai bien compris, cela consiste à envoyer un lien qui exécute une action sur un site avec les droits de l'utilisateur qui se rend (ou pas ) sur ce site. J'ai aussi vu que des sites comme Facebook utilisait un token pour parer ce genre d'attaque. Mais ma question est la suivante : est-ce que cette méthode permet une vraie protection car j'ai lu que c'était souvent des tokens "fixes" qui changent uniquement lorsque l'on se déconnecte ! Et donc un attaquant pourrait très bien récupérer ce token et envoyer un lien malveillant avec ce token ?
    Merci de vos réponses
    PS : J'espère ne pas demander quelque chose de trop sensible

  • #2
    https://openclassrooms.com/courses/s...s-failles-csrf

    Tout y est expliqué. Pour se défendre, il est essentiel de comparer chaque variable afin de ne pas laisser de place à l'agencement à une structure de détournement.

    La protection côté client, je dirais désactiver javascript ou alors l'ad-on "noscript" dans le cas d'une attaque CSRF qui passe par une “stored XSS” (ou XSS stockée). Vérifier les URLs avant de cliquer bètement qui vous sont envoyés surtout si vous êtes modérateur ou administrateur.

    Mais la plupart des CMS vérifie toutes ses variables unes à unes afin de ne pas provoquer ce genre de bug.

    Certains ont largement exploiter son processus en le liant au clickjacking afin de grapiller des followers,...

    Pour ce qui est de la protection côté serveur, le token ou jeton provisoire de session est la meilleur défense, elle ne peut être contourné qu'avec un XSS + CSRF mais alors il faut en plus utiliser httponly, voici un article dessus :

    http://blog.codinghorror.com/protect...kies-httponly/

    http://www.corej2eepatterns.com/Design/PresoDesign.htm

    Symphony et bien d'autres ont depuis longtemps intégré des anti-csrf dans leur code.

    Mais, la vrai défense reste toujours la vigileance
    Dernière modification par DreAmuS, 19 février 2016, 15h59.

    Commentaire


    • #3
      Salut ! Merci de ta réponse ! Du coup on est d'accord que sur Facebook ou autre site web utiliser par des millions d'utilisateurs, les failles CSRF ne sont pas utilisables ? Il n'est pas possible avec un lien piégé de provoquer une action à l'insu de la victime ?
      Merci d'avance.

      Commentaire


      • #4
        Non, je dit simplement que la faille CSRF de départ est devenu difficile à exploiter puisque combler systèmatiquement, mais qu'il existe d'autres façons de les contourner en les combinant à du phishing, pharming, XSS, spear.... Beaucoup de site ne vérifie pas les tokens ou ne les emploie pas encore, beaucoup trop.

        Et envoyer même qu'un lien de déconnection pourra abuser plus d'un admin. Mais les gros tenors font gaffe à ce type de faille banale et n'entrave que la partie centrale de la faille pas les à côtés.

        Mais on retrouve plus cette faille sur les plugicielles pour CMS ou framework qui sont développés sans prendre en compte souvent le système de token et laisse un vide pour l'exploitant.

        Regarde tient je répondais à un autre poste sur exploiDB : https://www.exploit-db.com/search/?a...BNwn&e_author=

        Vérifie le captcha et mate : 471 entrées.

        Donc, non ce n'est pas mort, mais les erreurs sont rapidement patchés.

        Regarde pour ici par exemple sur VB5.

        Tu regarde l'url de déconnection : http://hackademics.fr/login.php?do=l...xxxxxxxxxxxxxx

        J'ai masquer les numéros mais tu remarque que le jeton est crypté en sha1 + salt, alors difficile si en aléatoire tu devais l'utiliser. Pareil de grosses structures comme facebook sont protégé contre cette faille, mais de petits nouveaux cms, plug,... créé par des web et dev peu expérimentés laisse encore la part eblle au CSRF.

        Pour ce qui est des modifications tu a les URLs à visiter et comprendre, delete aussi, par contre je n'entrerais pas dans les détails qui dépassent le postes et surtout l'éthique. Mais en analysant les url qui passent toutes par GET, on peut simuler de nouvelles à soumettre.

        Bref, voilà.
        Dernière modification par DreAmuS, 19 février 2016, 17h21.

        Commentaire


        • #5
          Merci pour toutes ces réponses

          Commentaire


          • #6
            De rien, tu peux rechercher ce type de faille en analysant comment sont envoyé client/serveur les données de renseignement ou en analysant la structure d'un site. Souvent tu va avoir des tokens pour le site mais pour un calendar tu n'aura pas d'HttpOnly. Ou tu va rechercher les bugs en te plaçant entre le serveur et le client, bref il y a de quoi faire.

            Par exemple pour hackademics qui est bien sécurisé (feloch aux admins) sur ce point là comme démontré des tokens sont transmis mais même pour les annexes comme thanks qui génére également un token :

            Code:
            function post_thanks_remove_all(postid, integrate)
            {
            	var sUrl = 'post_thanks.php';
            	var postData = 'do=post_thanks_remove_all&using_ajax=1&p=' + postid + '&securitytoken=' + SECURITYTOKEN; [....]
            On vois bien la variable JS qui appelle le fichier php thanks et lui soumet un jeton sécurité.

            D'où connaître le langage web pour du web, pc pour du pc,....

            Voici l'original : http://pastebin.com/nA1nmnai

            Et ceci en 20 secondes, imagine une recherche approprié, une approche différente,... Je n'entrerais pas dans les détails car suis naze ce soir, mais tu a compris la technique.

            Les URLs de modification et delete sont souvent transmis sans token secure et surtout passe en GET, je n'irais pas plus loin car ce serais contre l'éthique, mais l'étude des URLs peut permettre de nouvelles compositions à tester afin de provoquer une CSRF. Tout dépendra de comment elles sont transmises.

            Bref, c'est un travail de fourmis au cours duquel tu doit être discret puisque tu devra soumettre l'url à un admin à la fin pour que le système se referme.

            Voilà
            Dernière modification par DreAmuS, 19 février 2016, 17h26.

            Commentaire


            • #7
              Ok ! Super merci D'ailleurs, à ce propos, j'ai vu pas mal de tutos où Burpsuite est utilisé pour voir les champs de formulaires envoyés, notamment ceux "cachés", mais auriez-vous de bons tutos pour apprendre à manier BurpSuite ? Je n'arrive pas à en trouver pour cet usage ! Merci pour toutes vos réponses !

              Commentaire


              • #8
                Des tutos il y en a plein sur google.

                Tu n'a qu'à taper les mots clé burp suite csrf tutoriel et lancer. au pire tu rajoute un TYPEFILE: PDF en fin de mots clés et tu lance pour avoir des pdf.

                Voilà sur ceux bonne chance pour la suite. Mais CSRF n'est qu'une infime partie de la sécurité et je te conseillerais de commencer par le début, le fonctionnement d'un PC, d'un réseau, D'internet,... Puis ensuite leur relation, les composants,... Après c'est à toi de voir.

                Bonne chance

                Commentaire


                • #9
                  Oui t'as raison, mais je commence à m'intéresser au hacking parce que justement j'aime comprendre comment ça marche. Je me suis déjà intéressé à comment fonctionne un ordinateur ainsi qu'un serveur. Et puis comme les seuls langages que je connaisse c'est le PHP etMySQL je m'intéressait à cette faille Merci en tous cas pour tes réponses

                  Commentaire

                  Chargement...
                  X