IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Ils réussissent une attaque XXE sur un serveur de production de Google,

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mars 2013
    Messages : 426
    Points : 32 561
    Points
    32 561
    Par défaut Ils réussissent une attaque XXE sur un serveur de production de Google,
    Des chercheurs en sécurité réussissent une attaque XXE sur un serveur de production de Google
    et sont gratifiés de la coquette somme de 10 000 dollars

    Il n’existe pas de sécurité parfaite, et aucun système n’est invincible. Un groupe de chercheurs du cabinet de sécurité detectify, en réalisant leur challenge quotidien, viennent de se retrouver gratifié par Google d’un chèque de 10 000 dollars. À l’origine de cet événement, ils ont réussi une attaque XXE (XML External Entity) sur l’un des serveurs de production de Google.

    L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.

    Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.

    Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.

    Source : blog Detectify

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 030
    Points : 4 203
    Points
    4 203
    Par défaut
    Y a pas à dire j'aime cette politique chez Google.
    Ils ont tout compris. Les sommes données sont dérisoires par rapport aux conséquences possibles.

  3. #3
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 749
    Points
    39 749
    Par défaut
    Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.

  4. #4
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    Octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Singapour

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 785
    Points : 9 716
    Points
    9 716
    Par défaut
    Citation Envoyé par tomlev Voir le message
    Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
    Ou de carrément leur envoyer le FBI :

    http://www.developpez.com/actu/70019/Pourquoi-les-hackers-ethiques-sont-ils-mal-percus-par-les-entreprises-L-un-d-eux-fait-les-frais-du-FBI/
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  5. #5
    Membre expérimenté Avatar de supergeoffrey
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2010
    Messages
    795
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2010
    Messages : 795
    Points : 1 685
    Points
    1 685
    Par défaut
    Ils étaient combien ?
    Car
    10000$ pour Google c'est rien
    et
    10000$ / 2 c'est très sympa
    10000$ / 3 c'est sympa
    10000$ / 4 c'est encore sympa
    10000$ / 5 c'est plutôt correcte
    10000$ / + 6 c'est plus une récompense c'est juste une prime de salaire


    donc 10000$ chacun ça aurait était mieux.
    Pensez à marquer vos tickets comme résolus.
    Pensez aussi aux pour les réponses pertinantes

    Quand une discution est résolue depuis un moment pour revenir dessus, il est mieux d'en crée une nouvelle avec un lien vers l'autre car :
    • Elle sera en haut du forum, elle sera donc plus visible
    • Une discussion résolue, on ne passe pas dessus pour aider, on passe dessus si on a le même problème
    • Tu demandes surement à tes clients de faire le même

  6. #6
    dk
    dk est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    Juin 2004
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2004
    Messages : 75
    Points : 238
    Points
    238
    Par défaut
    Juste 10K$ faut être passionné... parce que comme dit plus haut c'est vraiment une somme dérisoire comparé aux conséquences d'une telle attaque. Et encore, dérisoire, c'est un énorme euphémisme.

  7. #7
    Membre averti
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    126
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 126
    Points : 351
    Points
    351
    Par défaut
    Au delà de la récompense, vu que l'affaire a été largement médiatisé, ça fait une excellente pub pour ce cabinet de sécurité.

  8. #8
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Même 10 000$ / 20 c'est toujours plus intérressant comme "prime", que de se faire attaquer en justice ou envoyer le FBI...

    Certes pour Google c'est une somme insignifiante, mais comme l'on dit certains, c'est déjà bien que Google agisse dans ce sens et récompense (même légèrement) ce genre de découverte qui aurait pu leur faire perdre plus, plutôt que de réagir comme certaines autres firmes qui, non-content d'avoir une faille découverte gratuitement à corriger pour éviter des pertes, se regavent une deuxième fois en justice...

  9. #9
    Membre à l'essai
    Profil pro
    Développeur informatique
    Inscrit en
    Août 2009
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2009
    Messages : 9
    Points : 23
    Points
    23
    Par défaut
    C'est du gagnant/gagnant.

    C'est la meilleur politique qui puisse exister. Récompenser les honnêtes gens pour couper l'herbe sous le pied des escrocs.

  10. #10
    Membre averti Avatar de mapmip
    Profil pro
    ulla
    Inscrit en
    Juillet 2006
    Messages
    1 314
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : ulla

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 314
    Points : 346
    Points
    346
    Par défaut
    comment ont ils fait ca ? comment s'en prémunir ?

  11. #11
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par mapmip Voir le message
    comment ont ils fait ca ? comment s'en prémunir ?
    Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

    The root cause of XXE vulnerabilities are naive XML parsers that blindly interpret the DTD of the user supplied XML documents.
    La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

    Documentation: OWASP

    Un exemple que tu peux voir sur ce lien:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    <?xml version="1.0" encoding="ISO-8859-1"?>
     <!DOCTYPE foo [  
       <!ELEMENT foo ANY >
       <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>
    Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.

  12. #12
    Membre averti Avatar de mapmip
    Profil pro
    ulla
    Inscrit en
    Juillet 2006
    Messages
    1 314
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : ulla

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 314
    Points : 346
    Points
    346
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).



    La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

    Documentation: OWASP

    Un exemple que tu peux voir sur ce lien:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    <?xml version="1.0" encoding="ISO-8859-1"?>
     <!DOCTYPE foo [  
       <!ELEMENT foo ANY >
       <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>
    Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.

    dans /etc/passwd, les mots de passe sont codés , donc le seul danger c'est la récupération des logins ?

  13. #13
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par mapmip Voir le message
    dans /etc/passwd, les mots de passe sont codés , donc le seul danger c'est la récupération des logins ?
    La lecture d'/etc/passwd n'était qu'un exemple, tu pourrais aller lire n'importe quel autre fichier du serveur avec ce que sa engendre (données confidentiels, login et password en tout genre, code sources de pages web, etc).
    De plus, si un attaquant te pique ton /etc/passwd et ton /etc/shadow (si l'application vulnérable tourne en root) il peut cracker les mots de passes si ceux ci sont trop simple avec différents outils.

    Les autres attaques potentiels par ce biais sont cités dans l'article du blog:
    local file access, SSRF and remote file includes, Denial of Service and possible remote code execution
    Les chercheurs se sont arrêté à un simple PoC, ils n'ont pas chercher à aller plus loin (ce qui est logique, leur seul but était de montrer que la faille était là, pas de s'en servir).

  14. #14
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    Citation Envoyé par tomlev Voir le message
    Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
    Ça a déjà été le cas, je vous laisse rechercher sur google en commençant par le mot "yes-card" et ensuite rechercher de manière un peu plus approfondie sur google.
    Evidemment, je vous parle de résultats en France, avec notre belle mentalité.
    .I..

  15. #15
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2013
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Congo-Brazzaville

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Mai 2013
    Messages : 7
    Points : 7
    Points
    7
    Par défaut
    on ne peut se vanter aujourd'hui de la securité dr nos données peu importe le chiffrement utilisé. Et je pense aussi que ces monsieurs méritent mieux que ça

  16. #16
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Ils aurait pu donner un peu plus, vue l'argent que ça peut représenter une telle faille...
    Déjà qu'ils ne paient pas leurs impôts ...
    Faut croire que plus on a d'argent, plus on devient radin ... Pourvu que je ne devienne pas trop riche (mais un peu quand même )
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

  17. #17
    Membre du Club
    Inscrit en
    Décembre 2005
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 29
    Points : 58
    Points
    58
    Par défaut
    La NSA aurait sans doute était plus généreuse.

Discussions similaires

  1. [2.0] Déploiement d'une application web sur un serveur
    Par m-mas dans le forum Général Dotnet
    Réponses: 7
    Dernier message: 22/05/2008, 14h18
  2. Attaquer une base MySQL sur un serveur distant
    Par champmart dans le forum Bases de données
    Réponses: 2
    Dernier message: 23/10/2006, 12h57
  3. [VB.NET 2.0] Lancer une application installee sur un serveur
    Par kissskoool dans le forum Windows Forms
    Réponses: 13
    Dernier message: 01/06/2006, 14h19
  4. Securiser une BD Access sur un serveur Web
    Par ahage4x4 dans le forum ASP
    Réponses: 5
    Dernier message: 07/11/2005, 17h14
  5. mise à jour d'une BDD locale sur un serveur distant
    Par jive dans le forum Général Conception Web
    Réponses: 4
    Dernier message: 22/08/2005, 22h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo