Des chercheurs réussissent une attaque XXE sur un serveur de production de Google
Et sont gratifiés de la coquette somme de 10 000 $
Le 2014-04-15 18:11:40, par Cedric Chevalier, Expert éminent sénior
Il n’existe pas de sécurité parfaite, et aucun système n’est invincible. Un groupe de chercheurs du cabinet de sécurité detectify, en réalisant leur challenge quotidien, viennent de se retrouver gratifié par Google d’un chèque de 10 000 dollars. À l’origine de cet événement, ils ont réussi une attaque XXE (XML External Entity) sur l’un des serveurs de production de Google.
L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.
Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.
Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.
Source : blog Detectify
Et vous ?
Qu'en pensez-vous ?
L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.
Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.
Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.
Source : blog Detectify
Et vous ?
-
LSMetagExpert confirméY a pas à dire j'aime cette politique chez Google.
Ils ont tout compris. Les sommes données sont dérisoires par rapport aux conséquences possibles.le 15/04/2014 à 21:28 -
tomlevRédacteur/ModérateurHeureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.le 15/04/2014 à 21:34
-
Patator21Membre à l'essaiC'est du gagnant/gagnant.
C'est la meilleur politique qui puisse exister. Récompenser les honnêtes gens pour couper l'herbe sous le pied des escrocs.le 16/04/2014 à 11:04 -
benjani13Membre extrêmement actifLe mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).The root cause of XXE vulnerabilities are naive XML parsers that blindly interpret the DTD of the user supplied XML documents.
Documentation: OWASP
Un exemple que tu peux voir sur ce lien:
Code : 1
2<?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ ]><foo>&xxe;</foo>
le 16/04/2014 à 15:28 -
Xinu2010Membre avertiAu delà de la récompense, vu que l'affaire a été largement médiatisé, ça fait une excellente pub pour ce cabinet de sécurité.le 16/04/2014 à 10:15
-
pcabocheRédacteurOu de carrément leur envoyer le FBI :
http://www.developpez.com/actu/70019/Pourquoi-les-hackers-ethiques-sont-ils-mal-percus-par-les-entreprises-L-un-d-eux-fait-les-frais-du-FBI/le 16/04/2014 à 7:23 -
dkMembre actifJuste 10K$ faut être passionné... parce que comme dit plus haut c'est vraiment une somme dérisoire comparé aux conséquences d'une telle attaque. Et encore, dérisoire, c'est un énorme euphémisme.le 16/04/2014 à 9:42
-
ZirakInactifMême 10 000$ / 20 c'est toujours plus intérressant comme "prime", que de se faire attaquer en justice ou envoyer le FBI...
Certes pour Google c'est une somme insignifiante, mais comme l'on dit certains, c'est déjà bien que Google agisse dans ce sens et récompense (même légèrement) ce genre de découverte qui aurait pu leur faire perdre plus, plutôt que de réagir comme certaines autres firmes qui, non-content d'avoir une faille découverte gratuitement à corriger pour éviter des pertes, se regavent une deuxième fois en justice...le 16/04/2014 à 10:58 -
mapmipMembre averticomment ont ils fait ca ? comment s'en prémunir ?le 16/04/2014 à 13:55
-
mapmipMembre averti
dans /etc/passwd, les mots de passe sont codés , donc le seul danger c'est la récupération des logins ?le 16/04/2014 à 20:37