GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Des hackers exploitent les commentaires de YouTube par injection HTML
Les failles XSS sont-elles sous-estimées par les webmasters ?

Le , par Katleen Erna, Expert éminent sénior
Des hackers exploitent les commentaires de YouTube par injection HTML, les failles XSS sont-elles trop sous-estimées par les webmasters ?

Des hackers ont trouvé plusieurs failles sur YouTube qu'ils se sont empressé d'exploiter ce week end. Les vulnérabilités touchent le système de commentaires du site de diffusion de vidéos.

Ils ont procédé via des injections HTML. En fait, en inscrivant un commentaire contenant du javascript après le tag <script>, il s'avère que YouTube supprimait le tag <script>, mais sans effacer les données qui le suivent. Au contraire, elles étaient mises en avant et affichées à l'écran. Grâce à cela, les hackers ont pu injecter du HTML directement dans la page visionnée, allant jusqu'à la modifier entièrement. Cette brèche ouvre la porte à de nombreuses attaques potentielles.

Dans le cas présent, c'est resté bon enfant : ouverture de pop ups, affichage de bannières et de messages ("Google can't code, YouTube hacked!"), écran noir.

Ces apparitions ont eu lieu ce dimanche 4 juillet entre 13h et 15h.

Pour l'anecdote, les pages les plus visées étaient celles consacrées au chanteur pour adolescents Justin Bieber. Les internautes voulant regarder ses vidéos étaient par exemple redirigés vers de faux sites annonçant sa mort.

Cet acharnement était originaire du forum 4chan qui s'est lancé dans une véritable croisade contre le jeune homme (qu'ils essaient d'envoyer faire un concert en Corée du Nord en truquant un vote).

S'étant arrêté au mauvais goût, les conséquences de cette vulnérabilité auraient pourtant pu être des attaques plus sérieuses touchant des millions d'ordinateurs.

Les webmasters ont parfois tendance à sous-estimer la faille XSS, qui présente pourtant de dangereux risques. En redirigeant un utilisateur sur une page extérieure au site, on pourrait tout aussi bien lui faire télécharger des malwares et autres logiciels malveillants. Les pirates auraient aussi pu rediriger les internautes vers de fausses pages YouTube pour une large campagne de phishing.

Le problème est en tous les cas réglé. YouTube a réagit au quart de tour et en seulement quelques heures, l'HTML a été géré correctement dans les commentaires.

Source : Un résumé de l'attaque fait par un "pirate" ; des explications du support de Google

Les Web Application Filters n'ont pas su détecter cet incident. Comment s'en protéger efficacement ?

Les webmasters sous-estiment-ils trop les failles de type XSS ? Sont-elles vraiment inoffensives ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de icl1c icl1c - Membre du Club https://www.developpez.com
le 05/07/2010 à 23:20
Citation Envoyé par Katleen Erna  Voir le message
Les webmasters sous-estiment-ils trop les failles de type XSS ? Sont-elles vraiment inoffensives ?

Oui, les webmasters sous-estiment ce type de faille.. Après tout, ils pensent que c'est que du js et que ça sera inoffensif pour leur site.. Avec les failles XSS, on peut faire du vol de cookies, vol de session, phishing, modification de la page, blocage du site, redirection vers du porn ..

Et pour revenir à la sécurité, le problème pour moi c'est que l'aspect sécurité est un point abordé à la fin de la formation et non tout au long.

De toute façon, on apprend la sécurité sur le tas en subissant les attaques..
Avatar de pi-2r pi-2r - Rédacteur https://www.developpez.com
le 06/07/2010 à 0:19
ah les noellistes, une bande de kikoo-lol qui veulent dominer le monde grand coup de XSS et de piratage de blog

@ icl1c: +1
Avatar de Florimond Florimond - Membre à l'essai https://www.developpez.com
le 06/07/2010 à 0:34
< Source : Un résumé de l'attaque fait par un "pirate" >

...a, semble-t-il, été effacé. Quelqu'un l'aurait-il en cache?
Avatar de - https://www.developpez.com
le 06/07/2010 à 1:37
Le fait est que la majorité des intervenants ont des connaissances voisines et peuvent prendre en charge les tâches qui incombent à leurs collègues. C'est normal de se spécialiser mais dans le cas du réseau il est un peu facile de se retrouver coincé par les droits et donc dans les petits arrangements des tenants du réseau.
Pour ce qui concerne la sécurité uniquement, la spécialité n'existe pas vraiment, on est tous du même coté de la sécurité pour des raisons business ou légales, voire philosophiques . Les règles concernent donc tout le monde. ceux qui ne comprennent pas se feront expliquer, ceux qui ne veulent pas se feront mettre à jour.

Citation Envoyé par valkirys  Voir le message
Dans le cas présent c'est un problème de javascript donc de développement pas de firewall...
Oui tout le monde doit prendre en compte la sécurité en premier le webmaster mais comme celui-ci a beaucoup de choses à faire ( rajoute une fonctionnalité par-ci, une par-là... je caricature je sais) il est anormal de le rendre responsable d'un travail au dessus de ses compétences.
Il devrait être obligatoire que l'on fasse un audit externe ou une vérification par un développeur chevronné...

Oui c'est du javascript donc.
La question est , que faire si on n'a pas d'auditeur neuf sous la main ? C'est un peu comme le ménage, si une fée du logis le fait, on peut en prendre l'habitude. On reconnait bien celui qui a un peu trop pris l'habitude de laisser ce genre de tache à un tiers.. Le but étant de ne pas se laisser déborder, si on peut le faire faire , c'est génial, sinon il faut retrousser les manches.
Avatar de benzoben benzoben - Membre actif https://www.developpez.com
le 06/07/2010 à 11:42
Citation Envoyé par Katleen Erna  Voir le message
[B][SIZE="3"]
Les webmasters ont parfois tendance à sous-estimer la faille XSS

Je ne suis pas sur qu'on puisse parler de "webmaster" pour un site comme Youtube!
Avatar de MysteryGummy MysteryGummy - Membre à l'essai https://www.developpez.com
le 06/07/2010 à 21:01
Citation Envoyé par Katleen Erna  Voir le message
Cet acharnement était originaire du forum 4chan qui s'est lancé dans une véritable croisade contre le jeune homme (qu'ils essaient d'envoyer faire un concert en Corée du Nord en truquant un vote).

En truquant les votes ? Je n'ai pas eu vent de ça... Ils centralisent leurs votes pour la Corée du nord et l'Israël c'est tout...
Avatar de xamtheone xamtheone - Candidat au Club https://www.developpez.com
le 07/07/2010 à 8:48
Citation Envoyé par bugsan  Voir le message
En l'occurrence il s'agit de faille XSS et non pas de SQL injection.

Ils n'ont même pas pris la peine d'échapper les '<' et '>' des commentaires. On se croirait revenu en l'an 2000 ...


En l'occurrence c'est plus vicieux. En temps normal les < et > sont échappés des commentaires youtube. L'attaque a juste exploité un bug: mettre 2 balises script faisait sauter l'échappement de la deuxième. La première était bien échappé en <script> mais la deuxième restait <script>.

Curieux, non?
Avatar de Cedrinho Cedrinho - Futur Membre du Club https://www.developpez.com
le 07/07/2010 à 9:53
Citation Envoyé par xamtheone  Voir le message
En l'occurrence c'est plus vicieux. En temps normal les < et > sont échappés des commentaires youtube. L'attaque a juste exploité un bug: mettre 2 balises script faisait sauter l'échappement de la deuxième. La première était bien échappé en <script> mais la deuxième restait <script>.

Curieux, non?

Oui en effet, c'est louche. Parce qu'un simple htmlentities convertit toutes les entités HTML, mais eux, il n'y a que la première balise et sa balise fermante apparemment
Avatar de homeostasie homeostasie - Membre éclairé https://www.developpez.com
le 07/07/2010 à 9:55
Citation Envoyé par Katleen Erna
Les webmasters sous-estiment-ils trop les failles de type XSS ?

Citation Envoyé par dissert
En ce qui concerne le XSS, et le problème de Youtube, je suis à 100% d'accord : c'est la faute du développeur (ou, plus certainement, celle de ses profs qui ne lui ont pas appris ce qu'était un XSS et pas dit que c'était à lui de s'en occupper).

Pour moi ici, il n'y a pas eu sous-estimation ou méconnaissance de la faille XSS puisse que l'on constate que la première balise "script" est échappé mais il y a bien un mauvais filtrage en l'occurrence, qui est bel et bien une erreur de développement.

Citation Envoyé par xamtheone
L'attaque à juste exploité un bug: mettre 2 balises script faisait sauter l'échappement de la deuxième. La première était bien échappé en <script> mais la deuxième restait <script>.
Curieux, non?

Ça peut être le pattern d'une expression régulière mal réalisée pour filtrer correctement la saisie utilisateur.

Citation Envoyé par Katleen Erna
Sont-elles vraiment inoffensives ?

Qui a osé dire cela?! ;-)
Avatar de xamtheone xamtheone - Candidat au Club https://www.developpez.com
le 07/07/2010 à 14:04
Citation Envoyé par homeostasie  Voir le message
Ça peut être le pattern d'une expression régulière mal réalisée pour filtrer correctement la saisie utilisateur.

Ya des chances. En y réfléchissant, je devrais même préciser qu'ayant pu tester avant que le bug soit corrigé, tout ce qui suivait la balise script échappée n'était pas échappé (dans le commentaire). Le petit jeu du jour: deviner la regexp pourrie de youtube avant correction ^^'
Avatar de yuan yuan - Membre du Club https://www.developpez.com
le 07/07/2010 à 23:40
Citation Envoyé par Katleen Erna  Voir le message

Les Web Application Filters n'ont pas su détecter cet incident. Comment s'en protéger efficacement ?

Un bon firewall IPS avec inspection protocolaire jusqu'a la couche 7 saura très bien bloquer ce genre d'attaque. Pour dire .. même des produits français le font !!
Offres d'emploi IT
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil