Qu'est-ce que l'exploitation de sites Web Pass-The-Cookie ?
14 juin 2021
Écrit par Hannah Golding
Qu'est-ce qu'une vulnérabilité de site Web ?
Un attaquant découvrira d'abord une vulnérabilité, puis tentera de l'exploiter pour prendre pied au sein de l'hôte. Le plus souvent, des vulnérabilités existent en raison de logiciels obsolètes sur l'application Web, tels que le serveur Web, cependant, les applications Web peuvent avoir leurs propres problèmes en raison de problèmes de codage et de configuration de l'application elle-même.
Les risques de sécurité les plus courants pour les applications Web incluent :
Injection
Authentification brisée
Exposition de données sensibles
Entités externes XML (XXE)
Contrôle d'accès cassé
Mauvaise configuration de la sécurité
Script intersites XSS
Désérialisation non sécurisée
Utilisation de composants avec des vulnérabilités connues
Journalisation et surveillance insuffisantes
1 OWASP
https://owasp.org/www-project-top-ten/
– OWASP Top Ten
Qu'est-ce que l'exploitation de sites Web ?
L'exploitation de sites Web est un moyen courant d'attaquer des sites Web. Environ 90 % des violations de données signalées révèlent qu'un exploit est utilisé à un ou plusieurs points de la chaîne d'attaque. L'exploitation est la prochaine étape qu'un attaquant peut franchir après avoir trouvé une vulnérabilité. C'est le moyen par lequel une vulnérabilité peut être exploitée pour une activité malveillante par des pirates ; ceux-ci incluent des logiciels, des séquences de commandes ou même des kits d'exploit open source.
Qu'est-ce qu'un cookie de session ?
Les cookies sont des données qui sont stockées dans la mémoire temporaire, ou « cache », d'un navigateur Web et sont renvoyées au même site Web qui les a créés. Chaque navigateur détient indépendamment sa propre base de données de stockage de cookies
- par exemple, les cookies enregistrés par un navigateur auquel on a accédé à l'aide de Chrome, ne sont pas visibles par Firefox.
En ouvrant une fenêtre de navigation privée, l'utilisateur fournirait à cette fenêtre une nouvelle base de données de cookies vide et temporaire. L'ouverture de plusieurs onglets dans la même fenêtre entraînera également le partage de la même base de données de cookies. Ainsi, un cookie de session est simplement un cookie stockant des informations utilisées par l'application Web pour gérer la session de l'utilisateur en cours, que ce soit dans un, deux ou plusieurs onglets.
Les cookies de session sont générés par l'application Web après qu'un utilisateur s'est connecté avec succès, ce qui signifie que le cookie confirme que l'ID et le mot de passe de l'utilisateur sont valides et que l'utilisateur a réussi tous les défis d'authentification multifacteur (MFA), tels que la soumission d'un mot de passe horaire ou à l'aide d'un dongle. Une copie du cookie de session est incluse lorsqu'une application Web reçoit une demande d'un navigateur et, à son tour, l'application Web peut valider le cookie de session et l'utiliser pour autoriser la demande.
Ces cookies sont utilisés pour plus de commodité une fois qu'un utilisateur est authentifié auprès du service afin que les utilisateurs n'aient pas besoin de se ré-authentifier souvent à plusieurs reprises. Cependant, cela signifie que les cookies de session sont valides pendant un certain temps (entre quelques minutes ou heures selon l'application Web), ce qui peut laisser de la place aux pirates pour voler une copie du cookie de session d'un utilisateur - également connu sous le nom de " pass ". l'attaque du cookie.
Comment fonctionne une attaque Pass-the-Cookie ?
Dans une telle attaque, l'auteur peut injecter dans l'application Web un script malveillant qui permet de voler les cookies de session de l'utilisateur.
Pour chaque visite sur le site, le script malveillant est activé et plus de données sont prises. Les cookies de l'utilisateur sont ensuite importés dans un navigateur que l'auteur contrôle, ce qui signifie qu'il peut utiliser le site en tant qu'utilisateur tant que le cookie reste actif. Cela donne à l'agresseur la possibilité de se déplacer latéralement, d'accéder à des informations sensibles et d'effectuer des actions sur le compte de la victime.
Comment atténuer les attaques de type Pass-the-Cookie
Le seul moyen d'éradiquer presque suffisamment le risque d'attaque par passe-le-cookie est de forcer l'utilisateur à se ré-authentifier plus fréquemment pour différentes fonctionnalités d'application Web. Cependant, cela diminuerait l'expérience utilisateur. Heureusement, avec de nombreuses méthodes d'atténuation simples disponibles, la probabilité qu'une attaque par passe-le-cookie se produise peut être réduite. En vous déconnectant simplement de l'application Web et en fermant le navigateur une fois que vous avez fini de l'utiliser, vous pouvez réduire considérablement le risque d'attaque.
De nombreux utilisateurs ne se déconnectent jamais, ce qui augmente la menace. Des tests réguliers pour les attaques de type "pass-the-cookie", dans le cadre de l'examen et des évaluations de la sécurité de votre application et de votre architecture, peuvent également aider à réduire la probabilité qu'une attaque ait lieu. Cela peut aider à repérer les vulnérabilités où l'injection de script pourrait être activée. Une sensibilisation accrue aux attaques par transmission de cookies, grâce à des méthodes telles qu'une meilleure formation des utilisateurs à la gestion des cookies en particulier, peut également aider à réduire le risque qu'une attaque se produise. Néanmoins, une atténuation efficace dépend en grande partie de la mise en place des cultures de sécurité internes appropriées. Maintenir la conscience de la sécurité au sein d'une organisation ou en tant qu'individu est essentiel pour identifier et répondre aux menaces de sécurité, ainsi que pour suivre les processus de sécurité. Être conscient de votre posture de sécurité est crucial pour découvrir et corriger les vulnérabilités apparentes.
REF.: https://cyberclan.com/knowledge/what-is-pass-the-cookie-website-exploitation/
