Introduction

Martin

Coprésident de Framasoft

Data Scientist en Freelance

Cherche un doctorat en Sécurité du Machine Learning

Ex-Mozilla Fellow chez Derechos Digitales (Chili)

framartin@framasoft.org

@framart1

I - LES FAILLES XSS

DEFINITION

• Cross-Site Scripting (XSS)
• Injection de HTML/JavaScript dans une page web
• Impact : applications Web et sites Web
• Différents types
• Sans alert(), pas de XSS ;)

DEMO

Pourquoi est-ce une vulnérabilité ?

• Vol de session (cookie)
  
  
  
   
• Vol de données
• Phishing
  Ex : Faux formulaire de login
• Élévation verticale/horizontale de privilèges
• Distribution de malwares
• Etc.
  
  La limite est votre créativité :)

Quelques idées....

• Personnaliser le piège selon le navigateur, la langue, etc. pour sembler plus réel
  
  Exemple de distribution de malwares :
  https://www.hackread.com/fake-chrome-firefox-font-update-drops-rat-and-locky-ransomware/
  
   

Implications

• Souvent pas considérée comme une faille critique
  
  Mais... 
• Failles faciles à exploiter
• (Certaines) faciles à trouver
• Implication en terme de Droits de
  l'Homme si failles exploitées contre activistes
• Peu baisser le coût de la surveillance offensive

Attention à ne pas minimiser l'impact

S'en protéger ?

• Échapper certains caractères (côté serveur ou client)
  Exemple :
   
• HTML Sanitization
  Liste noire d'éléments HTML
  
  Ne PAS faire soit même ! Utilisez des bibliothèques.
  Les navigateurs sont beaucoup trop tolérants.
  
  
  https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
• Entêtes Content-Security Policy
  Attention ! C'est un mécanisme de prévention additionnel.
  Ce ne doit pas être votre protection principale.

En résumé...

II - Mon expérience

présentation

• Intérêt pour la sécurité
                          +
• Chômage
                          =  
• Première expérience de pentesting
  
   
• Vingtaine XSS en ~1 mois
• Pentester les applications que l'on
  héberge à Framasoft (entre autres)

En résumé

A - LUTIM

Application web d'hébergement d'images
chiffrées côté serveur.

framapic.org

• Vol de données
• Le chiffrement n'est pas une solution magique
• Clés de chiffrement dans l'URL
• LocalStorage stocke URL des images uplodées

Comment ?

1. Création d'un fichier SVG contenant du Javascript
2. Upload sur Lutim
3. Envoyer le lien à la cible
4. Le JS est exécuté lors de l'affichage dans le navigateur
   Il a accès au LocalStorage

Autres formats qui peuvent contenir du JS

• (x)htm(l)
• xml
• svg(z)
• (pdf ?)

• Désactiver upload de ces Mime-Type
• Forcer téléchargement (recommandé)
  via 'Content-Disposition: attachment'
• Filtrer les fichiers (mauvaise idée !)
  Cf : Vuln de MediaWiki https://phabricator.wikimedia.org/T85850

Logiciels impactés

• Lutim
• Loomio
• Turtl
• Framaforms
• Request Tracker
• Et d'autres...

B - Cryptpad

Éditeur collaboratif en temps réel, zero knowledge

• Vol de données
• Accès aux clés de chiffrement 
• Puissance d'une attaque côté client

COMMENT ?

1.  Création d'un pad qui contient
   
    
2. Partage avec la victime
3. La victime exporte le pad, le JS s'exécute

• Réaction exemplaire !
  https://blog.cryptpad.fr/2017/03/06/Security-growing-pains/
  Réponse et fix très rapide, communication, publication billet blog, remerciements, transparence, etc.

<img src=x onerror=alert()>

C - Loomio

Application Web de prise de décision.

• Élévation horizontale de privilèges
• Voter pour un autre utilisateur

markdown et XSS

Attention !

1. Si disponible, utilisez option 'sanitize' de votre bibliotèque et vérifiez ce qu'elle fait
2. Ou, utilisez une bibliothèque de filtrage HTML 

https://github.com/showdownjs/showdown/wiki/Markdown%27s-XSS-Vulnerability-(and-how-to-mitigate-it)

https://michelf.ca/blogue/2010/markdown-et-xss/

Logiciels impactés par XSS via markdown

• Loomio
• Turtl
• Framaslides
• Framemo & Scrumblr de Sandstorm
• Et d'autres...

D - TURTL

Application Web alternative à Evernote chiffrée

« sécurisée » qui peut stocker textes, images, fichiers, URL, mots de passe, etc.

3ème Faille : Comment ?

1. Créer un dossier partagé avec la victime
2. Créer une note
3. Avec le titre : 
4. Dès que la victime se connecte, le JS exécuté

Très peu d’interaction de l'utilisateur.

<img src=x onerror=alert(0)>

Très Mauvaise Réaction

Tout ce qu'il ne faut pas faire !

• Failles non-corrigées  8 mois après
  (alors que l'on a envoyé un fix)
• Failles publiques sur leur Trello avec tout le détail... ><'
• Leur logiciel est censé être sécurisé
• Et ce truc gère des mots de passe

Les XSS ont des sources diverses.
Ne pas faire de filtrage à la main.

III - Que faire ?

Problème

• L'ouverture du code ne répond pas
  miraculeusement aux impératifs de sécurité
• Manque clair de pentesters, car certaines failles étaient évidentes
• Le problème est le même pour le logiciel libre et non libre : si personne ne cherche les vulnérabilités, elles ne seront pas fixées

Conseils pour dev/mainteneur

• Ne pas publier la faille avant fix
• Moyen de communiquer de manière non publique
• Indiqué sur /security
• Répondre assez rapidement (même pour dire « vu »)
• Communiquer sur vos failles (CVE par exemple)
• Mettre en place une démo
• Ne pas être un connard
  Une faille n'est pas une attaque personnelle !

Conseils pour Utilisateurs

• Contribuez !
  • Quelques connaissances en HTML
  • Essayer d'entrer :
    
    dans tous les champs de texte
  • Upload d'un fichier (x)htm(l), xml, svg(z)
  • Upload d'un fichier qui s'appelle
     
  • Entrer du markdown
    Cf slide précédant
  • Dans les champs de lien :
     
  • Et cliquez partout !
• Ne pas être un connard
  Vous n'êtes pas plus malin que les autres !

Conseils pour Hébergeurs

• 1 (sous-)domaine par application
• Mettre à jour
• Communiquer
• Surveiller les failles publiées (CVE)