Le XSSJacking – la nouvelle attaque dont vous devez vous méfiez

By | March 25, 2017

 

Dylan Ayrey, chercheur en sécurité, a découvert un nouveau type d’attaque qu’il a nommé XSSJacking. Cette attaque combine trois autres techniques : le ClickJacking, le SelfXSS et le PasteJacking.

Le ClickJacking, le SelfXSS, le PasteJacking, que sont-ils ?

Le ClickJacking ou détournement de clic est une technique malveillante qui pousse un utilisateur à effectuer des actions non désirées sur des pages Web. Cette attaque prend la forme d’un code intégré ou d’un script qui peut être exécuté à l’insu de l’internaute.
Un scénario de ClickJacking se présente le plus souvent comme suit : sur une page Web, un attaquant charge le contenu d’un autre site dans un iframe, puis le rend invisible en réglant la propriété Opacity de l’iframe à 0. Lorsqu’un utilisateur clique sur la page, celui-ci clique en réalité sur le site invisible contenu dans l’iframe. Cette simple action peut résulter au détournement du navigateur, la prise de contrôle de l’ordinateur, etc.

Les deux autres techniques malveillantes qui constituent le XSSJacking sont liées entre elles.
Le SelfXSS est un type d’attaque XSS qui repose sur l’exécution de code XSS par l’utilisateur lui-même. Pour amener un utilisateur à insérer lui-même une charge XSS, l’attaquant peut avoir recours à d’autres moyens comme le PasteJacking, qui est une attaque qui consiste à remplacer un texte copié sur un site par un code malicieux.

Comment se déroule le XSSJacking ?

Supposons qu’un pirate crée un forum. Sur la page d’enregistrement, il place un champ Saisissez votre adresse et un autre Saisissez à nouveau votre adresse. Puis ce pirate insère un iframe invisible qui contient une portion d’un site légitime, disons Fakesite.com, et le place sur le champ Saisissez à nouveau votre adresse.

Lorsque l’utilisateur voudra se faire enregistrer sur forum, il écrira dans un premier temps son adresse mail et comme tout le monde, sera tenté de copier-coller son email dans le second champ. A la copie de l’adresse, le site ajoutera un code malicieux. Dès que l’utilisateur collera son texte, le code malicieux sera exécuté automatiquement sur la page Fakesite.com contenue dans l’iframe.

Si l’utilisateur possède déjà une session active sur Fakesite.com et si Fakesite.com est vulnérable aux vulnérabilités XSS, le code de l’attaque peut réaliser des actions malicieuses telles que le vol des cookies, l’accès aux messages privés, la modification les réglages de profil, le vol des détails personnels, l’envoi de messages malicieux vers d’autres contacts, etc.

Faut-il se méfier du XSSJacking ?

A première vue, cette attaque peut paraître complexe. Cependant, en utilisant quelques techniques de Social Engineering, elle pourrait être tout à fait réalisable. Si vous gardez de bonnes attitudes sur la Toile, vous ne devrez toutefois pas être menacé. De plus des extensions comme NoScript, ou Ghostery devraient vous mettre à l’abri des scripts malicieux.

Une Preuve de Concept a été mise en ligne par le hacker, et l’exploit se trouve également sur GitHub.

mdestroy

4 thoughts on “Le XSSJacking – la nouvelle attaque dont vous devez vous méfiez

  1. un lecteur assidu d un blog à vznir

    Ce que tu décris là n est juste PAS POSSIBLE. Les serveurs de façebook retourne le header xss-options qui empêche que leur page soit encpasulé dans une eframe…

    Un moyen de protection face à ce genre d attaque côté serveur est d ajouter les header xss-options dans la configuration Apache par exemple.

    Reply
    1. mdestroy Post author

      En effet, cela est impossible avec Facebook. J’utilisais Facebook juste comme un exemple pour continuer mon explication. L’exemple a été mal choisi. Pour éviter la confusion, j’ai remplacé Facebook par Fakesite.com. Merci pour ta remarque ! 🙂

      Reply
        1. mdestroy Post author

          T’inquiètes pas :-). Merci, et bonne journée également !

          Reply

Leave a Reply

Your email address will not be published. Required fields are marked *