Le Cross Site Scripting (XSS) est une attaque par lequel est injecté dans un site web, un code malveillant profitant d'une faille dans les contrôles de la validité des données en entré du site.

Concrètement lorsque vous transmettez des paramètres à un site à travers l'URL (donc via la méthode GET), et que celles-ci n'ont pas été vérifiées, traités, et validés (correctement voire pas du tout) alors tout utilisateur malintentionné peut profiter de cette négligence pour faire exécuter un code malicieux.

Attention, à noter qu'il ne faut pas confondre le XSS avec le CSS (Cascading Style Sheet), qui sont les feuilles de style en cascade qui servent à décrire la présentation des documents HTML.

Caractéristiques du XSS

Les attaques de type XSS se font généralement via l'injection de code HTML, mais elles exploitent également :

• le navigateur
• un langage de script, généralement JavaScript
• les balises d'images ou d'iframe (où la source fournie peut être du JavaScript)
• certaines variables PHP comme $_SERVER['PHP_SELF'] qu'il est possible de contourner : http://blog.developpez.com/julienpauli?title=server_php_self_et_xss

Il s'agit de liens que vous pouvez trouver dans :

• un site (forum, blog, etc.)
• (les spams de) la messagerie électronique
• les messageries instantanées
• les redirections

De ce fait :

• Il est relativement difficile de détecter ce type d'intrusion.
• Les pare-feux ne permettent pas vraiment de combattre ces attaques
• L'utilisation du chiffrement SSL ou autre n'arrange pas vraiment le problème.

Un exemple concret

Pour bien comprendre le principe, rien ne vaut un exemple.

Supposons le code suivant :

Sur un navigateur web cela donnerait :

Aucune variable n'a été transmit en GET donc la page n'affiche que "Bienvenue !"

Et remarquez dans l'adresse de la page, on a affecté "Soulon+Hak" à la variable login qui est affiché après "Bienvenue" (jusque-là je ne vous apprends rien)

Bienvenue <?php echo '<script>alert('Hack !');<script>'; ?>

Bienvenue <?php echo htmlentities($_GET['login']); ?><br/>

Et celui-ci ne sera pas interprété comme du code JavaScript !

Types de failles XSS

On distingue trois types de failles XSS :

1er type : local

Il s'agit d'une faille où un script côté client comme JavaScript récupère les paramètres contenus dans l'URL et l'utilise pour afficher localement sa propre page (en général malicieuse) avec potentiellement les privilèges utilisateurs en cours.

2e type : non-permanent (ou non persistant)

Il s'agit du type de XSS le plus courant.

Il se produit lorsque les scripts côté serveur ne font pas de vérifications préalables (ou pas suffisamment) des données saisies par l'utilisateur et que la page web non encodée en entités HTML affiche ces données; on a alors d’une faille XSS de 2e type.

3e type : permanent (ou persistant)

Il s'agit du type de faille XSS la plus dangereuse, car elle permet potentiellement de toucher plusieurs utilisateurs à la fois.

Il se produit lorsque les données sont stockées sur un serveur (dans une base de données, des fichiers, etc.) sans vérification préalable. De ce fait, un pirate pourrait par exemple stocker un script malveillant dans la base de données.

Les types de site web potentiellement vulnérables

Même si tous les sites web sont potentiellement vulnérables certains types de site le sont plus que d'autres du fait que d'une part elles regroupent beaucoup d'utilisateurs et d'autre part elles prennent des paramètres qui sont affichés ensuite dans la page HTML

• Les webmails
• Sites de commerce électronique
• Journaux électronique
• etc.

Pour citer un cas récent, une faille XSS a été découverte sur le site d'Alapage (qui a été corrigé depuis)

Ce XSS pouvait permettre de mettre la main sur l'Ip, le Code ID client, l'adresse email, l'identité ainsi que le Mot de passe (crypté) enregistré lors de l'inscription sur alapage.com

Préventions

Pour les développeurs de site web

• il faut toujours valider au préalable les données en entrée qui vont être affichées.
• à l'affichage, il faut utiliser un encodage spécifique (en PHP, via la méthode htmlentites())
• protéger des accès important par mot de passe (connexion, mise à jour de la base de données, etc.)
• pour Firefox, le module XSS Me permet de tester si votre site contient des failles XSS : https://addons.mozilla.org/fr/firefox/addon/7598

Pour les internautes

• Il faut se méfier des URLs un peu trop longues qu'on trouve dans les spams, forums, voire même dans les messageries instantanées, etc.
• Lire les URLs avant de les cliquer
• Désactiver éventuellement le JavaScript

Conclusion

Il existe bien d'autres techniques pour exploiter une faille XSS qui est un domaine assez vaste.

Lors du développement d'un site web, il faut garder à l'esprit que les parties sensible aux failles de type XSS sont les formulaires.

Vous pouvez tester pour voir la vulnérabilité de votre site via le module Firefox : XSS Me cité plus haut.

Liens

Le XSS

• http://www.net-security.org/dl/articles/xss_anatomy.pdf
• http://www.cgisecurity.com/articles/xss-faq.shtml
• http://www.commentcamarche.net/contents/attaques/cross-site-scripting.php3
• http://www.hakin9.org/upload/phpsolutions/PDFVersion/XSS_FR.pdf

Faille XSS sur la variable $_SERVER['PHP_SELF']

• http://blog.developpez.com/julienpauli?title=server_php_self_et_xss

Faille XSS sur le site d'Alapage

• http://www.zataz.com/news/18249/alapage--xss--faille--boutique.html

Tags: faille, sécurité, XSS

Cet article a été publié le Friday 27 February 2009 à 0:42 et est classé dans Serveur, Web, navigateur, php. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.