Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous

Identifiant
Mot de passe

Mot de passe oublié ?

Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs réussissent une attaque XXE sur un serveur de production de Google

Et sont gratifiés de la coquette somme de 10 000 $

Le 15 avril 2014 à 18:11, par Cedric Chevalier

16 commentaires

5PARTAGES

Voter pour

7

Voter contre

0

Il n’existe pas de sécurité parfaite, et aucun système n’est invincible. Un groupe de chercheurs du cabinet de sécurité detectify, en réalisant leur challenge quotidien, viennent de se retrouver gratifié par Google d’un chèque de 10 000 dollars. À l’origine de cet événement, ils ont réussi une attaque XXE (XML External Entity) sur l’un des serveurs de production de Google.

L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.

Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.

Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.

Source : blog Detectify

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Votre nom : Votre e-mail :

Décrivez l'erreur que vous souhaitez porter à notre connaissance :

16 commentaires

Commenter Signaler un problème

Expert confirmé

Le 15/04/2014 à 21:28

Y a pas à dire j'aime cette politique chez Google.
Ils ont tout compris. Les sommes données sont dérisoires par rapport aux conséquences possibles.

Voter pour

6

Voter contre

0

Rédacteur/Modérateur

Le 15/04/2014 à 21:34

Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.

Voter pour

4

Voter contre

0

Membre à l'essai

Le 16/04/2014 à 11:04

C'est du gagnant/gagnant.

C'est la meilleur politique qui puisse exister. Récompenser les honnêtes gens pour couper l'herbe sous le pied des escrocs.

Voter pour

3

Voter contre

0

Membre extrêmement actif

Le 16/04/2014 à 15:28

Citation

Envoyé par mapmip

Voir le message

comment ont ils fait ca ? comment s'en prémunir ?

Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

The root cause of XXE vulnerabilities are naive XML parsers that blindly interpret the DTD of the user supplied XML documents.

La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

Documentation: OWASP

Un exemple que tu peux voir sur ce lien:

Code :

Sélectionner tout

1
2
<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
   
   ]><foo>&xxe;</foo>

Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.

Voter pour

3

Voter contre

0

Membre averti

Le 16/04/2014 à 10:15

Au delà de la récompense, vu que l'affaire a été largement médiatisé, ça fait une excellente pub pour ce cabinet de sécurité.

Voter pour

2

Voter contre

0

Rédacteur

Le 16/04/2014 à 7:23

Citation

Envoyé par tomlev

Voir le message

Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.

Ou de carrément leur envoyer le FBI :

http://www.developpez.com/actu/70019/Pourquoi-les-hackers-ethiques-sont-ils-mal-percus-par-les-entreprises-L-un-d-eux-fait-les-frais-du-FBI/

Voter pour

2

Voter contre

1

Membre actif

Le 16/04/2014 à 9:42

Juste 10K$ faut être passionné... parce que comme dit plus haut c'est vraiment une somme dérisoire comparé aux conséquences d'une telle attaque. Et encore, dérisoire, c'est un énorme euphémisme.

Voter pour

1

Voter contre

0

Inactif

Le 16/04/2014 à 10:58

Même 10 000$ / 20 c'est toujours plus intérressant comme "prime", que de se faire attaquer en justice ou envoyer le FBI...

Certes pour Google c'est une somme insignifiante, mais comme l'on dit certains, c'est déjà bien que Google agisse dans ce sens et récompense (même légèrement) ce genre de découverte qui aurait pu leur faire perdre plus, plutôt que de réagir comme certaines autres firmes qui, non-content d'avoir une faille découverte gratuitement à corriger pour éviter des pertes, se regavent une deuxième fois en justice...

Voter pour

1

Voter contre

0

Membre averti

Le 16/04/2014 à 13:55

comment ont ils fait ca ? comment s'en prémunir ?

Voter pour

0

Voter contre

0

Membre averti

Le 16/04/2014 à 20:37

Citation

Envoyé par benjani13

Voir le message

Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

Documentation: OWASP

Un exemple que tu peux voir sur ce lien:

Code :

Sélectionner tout

1
2
<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
   
   ]><foo>&xxe;</foo>

Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.

dans /etc/passwd, les mots de passe sont codés , donc le seul danger c'est la récupération des logins ?

Voter pour

0

Voter contre

0

Commenter Signaler un problème

×

Vous avez un bloqueur de publicités installé.

Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.

Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.