Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs réussissent une attaque XXE sur un serveur de production de Google
Et sont gratifiés de la coquette somme de 10 000 $

Le , par Cedric Chevalier

0PARTAGES

7  0 
Il n’existe pas de sécurité parfaite, et aucun système n’est invincible. Un groupe de chercheurs du cabinet de sécurité detectify, en réalisant leur challenge quotidien, viennent de se retrouver gratifié par Google d’un chèque de 10 000 dollars. À l’origine de cet événement, ils ont réussi une attaque XXE (XML External Entity) sur l’un des serveurs de production de Google.

L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.

Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.

Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.

Source : blog Detectify

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 15/04/2014 à 21:28
Y a pas à dire j'aime cette politique chez Google.
Ils ont tout compris. Les sommes données sont dérisoires par rapport aux conséquences possibles.
6  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 15/04/2014 à 21:34
Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
4  0 
Avatar de Patator21
Membre à l'essai https://www.developpez.com
Le 16/04/2014 à 11:04
C'est du gagnant/gagnant.

C'est la meilleur politique qui puisse exister. Récompenser les honnêtes gens pour couper l'herbe sous le pied des escrocs.
3  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 16/04/2014 à 15:28
Citation Envoyé par mapmip Voir le message
comment ont ils fait ca ? comment s'en prémunir ?
Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

The root cause of XXE vulnerabilities are naive XML parsers that blindly interpret the DTD of the user supplied XML documents.
La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

Documentation: OWASP

Un exemple que tu peux voir sur ce lien:
Code : Sélectionner tout
1
2
<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
   
   ]><foo>&xxe;</foo>
Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.
3  0 
Avatar de Xinu2010
Membre averti https://www.developpez.com
Le 16/04/2014 à 10:15
Au delà de la récompense, vu que l'affaire a été largement médiatisé, ça fait une excellente pub pour ce cabinet de sécurité.
2  0 
Avatar de pcaboche
Rédacteur https://www.developpez.com
Le 16/04/2014 à 7:23
Citation Envoyé par tomlev Voir le message
Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
Ou de carrément leur envoyer le FBI :

http://www.developpez.com/actu/70019/Pourquoi-les-hackers-ethiques-sont-ils-mal-percus-par-les-entreprises-L-un-d-eux-fait-les-frais-du-FBI/
2  1 
Avatar de dk
Membre actif https://www.developpez.com
Le 16/04/2014 à 9:42
Juste 10K$ faut être passionné... parce que comme dit plus haut c'est vraiment une somme dérisoire comparé aux conséquences d'une telle attaque. Et encore, dérisoire, c'est un énorme euphémisme.
1  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 16/04/2014 à 10:58
Même 10 000$ / 20 c'est toujours plus intérressant comme "prime", que de se faire attaquer en justice ou envoyer le FBI...

Certes pour Google c'est une somme insignifiante, mais comme l'on dit certains, c'est déjà bien que Google agisse dans ce sens et récompense (même légèrement) ce genre de découverte qui aurait pu leur faire perdre plus, plutôt que de réagir comme certaines autres firmes qui, non-content d'avoir une faille découverte gratuitement à corriger pour éviter des pertes, se regavent une deuxième fois en justice...
1  0 
Avatar de mapmip
Membre averti https://www.developpez.com
Le 16/04/2014 à 13:55
comment ont ils fait ca ? comment s'en prémunir ?
0  0 
Avatar de mapmip
Membre averti https://www.developpez.com
Le 16/04/2014 à 20:37
Citation Envoyé par benjani13 Voir le message
Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

Documentation: OWASP

Un exemple que tu peux voir sur ce lien:
Code : Sélectionner tout
1
2
<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
   
   ]><foo>&xxe;</foo>
Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.

dans /etc/passwd, les mots de passe sont codés , donc le seul danger c'est la récupération des logins ?
0  0