Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des hackers exploitent les commentaires de YouTube par injection HTML
Les failles XSS sont-elles sous-estimées par les webmasters ?

Le , par Katleen Erna

0PARTAGES

0  0 
Des hackers exploitent les commentaires de YouTube par injection HTML, les failles XSS sont-elles trop sous-estimées par les webmasters ?

Des hackers ont trouvé plusieurs failles sur YouTube qu'ils se sont empressé d'exploiter ce week end. Les vulnérabilités touchent le système de commentaires du site de diffusion de vidéos.

Ils ont procédé via des injections HTML. En fait, en inscrivant un commentaire contenant du javascript après le tag <script>, il s'avère que YouTube supprimait le tag <script>, mais sans effacer les données qui le suivent. Au contraire, elles étaient mises en avant et affichées à l'écran. Grâce à cela, les hackers ont pu injecter du HTML directement dans la page visionnée, allant jusqu'à la modifier entièrement. Cette brèche ouvre la porte à de nombreuses attaques potentielles.

Dans le cas présent, c'est resté bon enfant : ouverture de pop ups, affichage de bannières et de messages ("Google can't code, YouTube hacked!", écran noir.

Ces apparitions ont eu lieu ce dimanche 4 juillet entre 13h et 15h.

Pour l'anecdote, les pages les plus visées étaient celles consacrées au chanteur pour adolescents Justin Bieber. Les internautes voulant regarder ses vidéos étaient par exemple redirigés vers de faux sites annonçant sa mort.

Cet acharnement était originaire du forum 4chan qui s'est lancé dans une véritable croisade contre le jeune homme (qu'ils essaient d'envoyer faire un concert en Corée du Nord en truquant un vote).

S'étant arrêté au mauvais goût, les conséquences de cette vulnérabilité auraient pourtant pu être des attaques plus sérieuses touchant des millions d'ordinateurs.

Les webmasters ont parfois tendance à sous-estimer la faille XSS, qui présente pourtant de dangereux risques. En redirigeant un utilisateur sur une page extérieure au site, on pourrait tout aussi bien lui faire télécharger des malwares et autres logiciels malveillants. Les pirates auraient aussi pu rediriger les internautes vers de fausses pages YouTube pour une large campagne de phishing.

Le problème est en tous les cas réglé. YouTube a réagit au quart de tour et en seulement quelques heures, l'HTML a été géré correctement dans les commentaires.

Source : Un résumé de l'attaque fait par un "pirate" ; des explications du support de Google

Les Web Application Filters n'ont pas su détecter cet incident. Comment s'en protéger efficacement ?

Les webmasters sous-estiment-ils trop les failles de type XSS ? Sont-elles vraiment inoffensives ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de
https://www.developpez.com
Le 05/07/2010 à 10:45
Citation Envoyé par valkirys Voir le message


La sécurité est l'affaire de tous (tout le monde doit se sentir concerné) mais doit être laissé aux développeurs chevronnés et non au Webmasters
Drôle de préambule, hiérarchie quand tu nous tient !
Dire un truc et son contraire dans la phrase qui suit a sans doute des vertus politiques mais en matière de sécurité, j'appellerai ça une faille ou même un fjörd.

Le webmaster est un développeur php, javascript ou html ?

Je retiens que c'est l'affaire de tous donc des webmasters en première ligne! Les attaques par injection sont relativement faciles à sécuriser par l'intermédiaire d'une petite routine de gestion de quotes qui doit être utilisée systématiquement , l'usage des quotes en dur doit être proscrit. L'ideal est de forcer l'utilisation de requètes paramétrées, je reconnais que c'est parfois très lourd. On peut cependant rendre obligatoire l'usage du '?' dans les insert et update issus de forms éditables par l'utilisateur.

Las ! Le (très) vieux LAMP ignore tout du SQL paramétré, on dit que Postgre l'autorise. Bonne raison pour se débarrasser de MySql , cependant pour ceux qui resteront avec ce jouet toute leur vie , ils doivent savoir que :

Code : Sélectionner tout
$query="SELECT * FROM table where title='$name'";


est un aspirateur à hacker, c'est un peu comme publier le mot de passe ftp sur facebook en demandant de ne pas le répéter...
Cette syntaxe est alors nécessaire :
Code : Sélectionner tout
$query="SELECT * FROM table where title="+sqlQuote($name);
N'hésitez pas à ajouter autant de concaténations que nécessaire. Seul un bout de code executé peut régler sérieusement ce problème. La petite facilité qu'offre PHP de déployer les strings en mettant leur nom dans une autre est à proscrire définitivement , plus jamais ....

La sécurité bouleverse votre sainte hiérarchie et la divise en deux parties : ceux dont le job est d'être le plus paranoïaque possible, et ceux qui appliquent les règles de sécurité. Les deux parties d'un cerveau sont équipées de nerfs qui transmettent l'info : il en va de même pour l'équipe web qui doit savoir parler sans s'exclure . D'où la perversion de votre commentaire.
1  0 
Avatar de dissert
Membre averti https://www.developpez.com
Le 05/07/2010 à 14:23
Citation Envoyé par valkirys Voir le message


La sécurité est l'affaire de tous (tout le monde doit se sentir concerné) mais doit être laissé aux développeurs chevronnés et non au Webmasters
La sécurité ne peut et ne doit être laissée aux développeurs chevronnés : ce n'est pas un aspect .

Tous les développeurs doivent la prendre en compte (et pas que les chevronnés), ainsi que tous les administrateurs (et en particulier les webmasters) et tous les utilisateurs.

Le développeur ne peut configurer un firewall, il ne peut pas non plus empêcher l'utilisateur de laisser trainer son mot de passe, par contre, il devra prendre en compte les bonnes pratiques de sécurité au niveau de son développement.

Chaque catégorie d'intervenant doit respecter les bonnes pratiques qui le concerne (en l'occurrence, en matière de sécurité).
1  0 
Avatar de icl1c
Membre du Club https://www.developpez.com
Le 05/07/2010 à 23:20
Citation Envoyé par Katleen Erna Voir le message

Les webmasters sous-estiment-ils trop les failles de type XSS ? Sont-elles vraiment inoffensives ?
Oui, les webmasters sous-estiment ce type de faille.. Après tout, ils pensent que c'est que du js et que ça sera inoffensif pour leur site.. Avec les failles XSS, on peut faire du vol de cookies, vol de session, phishing, modification de la page, blocage du site, redirection vers du porn ..

Et pour revenir à la sécurité, le problème pour moi c'est que l'aspect sécurité est un point abordé à la fin de la formation et non tout au long.

De toute façon, on apprend la sécurité sur le tas en subissant les attaques..
1  0 
Avatar de
https://www.developpez.com
Le 05/07/2010 à 9:00
Citation Envoyé par Katleen Erna Voir le message

Cet acharnement était originaire du forum 4chan qui s'est lancé dans une véritable croisade contre le jeune homme (qu'ils essaient d'envoyer faire un concert en Corée du Nord en truquant un vote).

Citation Envoyé par Katleen Erna Voir le message

Les webmasters ont parfois tendance à sous-estimer la faille XSS
La sécurité est l'affaire de tous (tout le monde doit se sentir concerné) mais doit être laissé aux développeurs chevronnés et non au Webmasters
0  0 
Avatar de FERDIKAM
Membre confirmé https://www.developpez.com
Le 05/07/2010 à 9:22
La sécurité est l'affaire de tous (tout le monde doit se sentir concerné) mais doit être laissé aux développeurs chevronnés et non au Webmasters
vous avez raison d'une part, mais le webmaster doit avoir un minimum de connaissances en développement pour être capable de résoudre aussi des problèmes de sécurités
0  0 
Avatar de tsunamichups
Membre habitué https://www.developpez.com
Le 05/07/2010 à 10:29
Une formation supplémentaire sur les sécurités ne ferait de mal à personne,
il est regrettable que dans les écoles, il n'y ait même pas une sensibilisation à cela ...

0  0 
Avatar de Caly4D
En attente de confirmation mail https://www.developpez.com
Le 05/07/2010 à 10:31
le club des 15-18 de jv.com ..... toute une histoire
0  0 
Avatar de JackDaniels93
Membre du Club https://www.developpez.com
Le 05/07/2010 à 11:15
Citation Envoyé par unBonGars Voir le message
Les attaques par injection sont relativement faciles à sécuriser par l'intermédiaire d'une petite routine de gestion de quotes qui doit être utilisée systématiquement.
Citation Envoyé par unBonGars Voir le message
Cette syntaxe est alors nécessaire :
Code : Sélectionner tout
$query="SELECT * FROM table where title="+sqlQuote($name);
N'hésitez pas à ajouter autant de concaténations que nécessaire.
Ou on peut utiliser un bon framework comme Symfony qui sécurise déjà pas mal le bouzin !
0  0 
Avatar de
https://www.developpez.com
Le 05/07/2010 à 11:35
Citation Envoyé par JackDaniels93 Voir le message
Ou on peut utiliser un bon framework comme Symfony qui sécurise déjà pas mal le bouzin !
C'est vrai, mais comme souvent en programmation, dès qu'on sort des fonctions proposées par le framework ont doit tout décomposer et recommencer "comme en 40" !!

C'est là que le développeur très sécurisé par les couches de service, montre ses limites.
Comme le sujet du topic concerne YouTube, qui n'utilise manifestement pas de gestionnaire de contenu... C'est le cas aussi pour les petites interfaces d'administration généralement offertes aux users enregistrés ou encore dans la page "Contact" ou dieu sait quel form intéractif un peu ennuyeux à développer et qu'on s'empresse d'oublier.

La sécurité est une façon de penser différente du fonctionnel, si on est trop cool, on se remet à penser spec et on laisse trainer la faille qui vous clouera au sol des années plus tard.

C'est difficile de savoir quelle discipline appliquer. En tous cas on a impérativement besoin de tous les yeux disponibles et même plus : recourir aux services d'un cab d'audit ne me semble pas stupide. L'inatention vient de l'habitude , et seul un oeil neuf est vraiment efficace. On peut aussi avoir une approche "check list" , moins couteuse mais qui demande beaucoup de minutie

L'auteur de 20 000 lignes de code aura-t-il la perspicacité de retourner dans ses vieux forms pour y vérifier chaque ligne ? Selon moi , une autre personne devrait le faire.
0  0 
Avatar de Fenn_
Membre actif https://www.developpez.com
Le 05/07/2010 à 11:55
Depuis PHP5 (plus vraiment récent maintenant...) on peut aussi utiliser l'objet PDO avec le driver nécessaire pour supporter les requêtes paramétrées...
0  0