SlideShare une entreprise Scribd logo
Outline
Notions
Advanced CSRF
Conclusion
Advanced CSRF / Have fun and profit
Manfred Touron — Vincent Guasconi
Epitech Security Laboratory
5 juin 2008
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Notions
CSRF en trois cases beamer
Pure blind SQL injection
Advanced CSRF
Le nouveau vecteur
Le serveur PoC
La d´emo
Conclusion
Solutions
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
CSRF en trois cases beamer
Pure blind SQL injection
CSRF en trois blocks beamer
En gros :
Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
CSRF en trois cases beamer
Pure blind SQL injection
CSRF en trois blocks beamer
En gros :
Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord
Deux avantages :
Casser la Cross Domain Policy
Agir `a l’insu de l’utilisateur
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
CSRF en trois cases beamer
Pure blind SQL injection
CSRF en trois blocks beamer
En gros :
Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord
Deux avantages :
Casser la Cross Domain Policy
Agir `a l’insu de l’utilisateur
Un inconv´enient :
Impossibilit´e de r´ecup´erer ou d’int´eragir avec la r´eponse
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
CSRF en trois cases beamer
Pure blind SQL injection
Time based blind SQL injection
Quoiqu’est-ce ?
Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e
`a l’attaquant `a travers la requˆete.
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
CSRF en trois cases beamer
Pure blind SQL injection
Time based blind SQL injection
Quoiqu’est-ce ?
Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e
`a l’attaquant `a travers la requˆete.
Une des techniques pour r´esoudre ce probl`eme :
Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non).
IF(premiere lettre password = ’a’, sleep 5, aucune action)
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
CSRF en trois cases beamer
Pure blind SQL injection
Time based blind SQL injection
Quoiqu’est-ce ?
Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e
`a l’attaquant `a travers la requˆete.
Une des techniques pour r´esoudre ce probl`eme :
Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non).
IF(premiere lettre password = ’a’, sleep 5, aucune action)
Technique applicable sur toutes les injections
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Le temps d’ex´ecution d’une requˆete HTTP est facilement
calculable sur une CSRF.
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Le temps d’ex´ecution d’une requˆete HTTP est facilement
calculable sur une CSRF.
Couplons les deux vecteurs...
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Le temps d’ex´ecution d’une requˆete HTTP est facilement
calculable sur une CSRF.
Couplons les deux vecteurs...
D´ecentralisation compl`ete de l’attaque (merci les autres)
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Le temps d’ex´ecution d’une requˆete HTTP est facilement
calculable sur une CSRF.
Couplons les deux vecteurs...
D´ecentralisation compl`ete de l’attaque (merci les autres)
Bypass de la Cross Domain Policy (interfaces admin, etc...)
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Le temps d’ex´ecution d’une requˆete HTTP est facilement
calculable sur une CSRF.
Couplons les deux vecteurs...
D´ecentralisation compl`ete de l’attaque (merci les autres)
Bypass de la Cross Domain Policy (interfaces admin, etc...)
Possible depuis un mail, simple et anonyme
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Exemples concrets
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Exemples concrets
Dump complet d’une database depuis plusieurs milliers de
machines qui ne sont que de simples visiteurs d’un site web,
ou lecteurs d’une mailing-list.
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Exemples concrets
Dump complet d’une database depuis plusieurs milliers de
machines qui ne sont que de simples visiteurs d’un site web,
ou lecteurs d’une mailing-list.
Michel lit ses mails au boulot, et se retrouve sans le savoir `a
attaquer le serveur de la boite concurrente.
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Exemples concrets
Dump complet d’une database depuis plusieurs milliers de
machines qui ne sont que de simples visiteurs d’un site web,
ou lecteurs d’une mailing-list.
Michel lit ses mails au boulot, et se retrouve sans le savoir `a
attaquer le serveur de la boite concurrente.
Rendre exploitable une injection SQL sur un panel
d’administration, ou zone restreinte depuis n’importe quel
domaine (les injections SQL deviennent Cross Domain)
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Les seuls logs qui permettraient de remonter `a l’attaquant sont
dans la m´emoire des clients (li´e aux redirections 302 du serveur,
disparaissent rapidement).
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Les seuls logs qui permettraient de remonter `a l’attaquant sont
dans la m´emoire des clients (li´e aux redirections 302 du serveur,
disparaissent rapidement).
Les logs sur les serveurs HTTP attaqu´es portent uniquement la
marque de la victime.
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Un couteau suisse
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Un couteau suisse
Serveur multiplex en C
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Un couteau suisse
Serveur multiplex en C
Facilite, et organise l’exploitation
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Un couteau suisse
Serveur multiplex en C
Facilite, et organise l’exploitation
Unifie les requˆetes
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
Un couteau suisse
Serveur multiplex en C
Facilite, et organise l’exploitation
Unifie les requˆetes
Permet de cibler un utilisateur
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Le nouveau vecteur
Le serveur PoC
La d´emo
D´EMO
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Solution simple
Sensibilisation des d´eveloppeurs web :
Aux injections SQL
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Solution simple
Sensibilisation des d´eveloppeurs web :
Aux injections SQL
Aux protections contre les CSRF cˆot´e serveur (tokens, referer)
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Solution simple
Sensibilisation des d´eveloppeurs web :
Aux injections SQL
Aux protections contre les CSRF cˆot´e serveur (tokens, referer)
N’interpr´eter sous aucune raison les mails en HTML
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Difficilement envisageable
Se faire `a l’id´ee de naviguer sous netcat
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Difficilement envisageable
Se faire `a l’id´ee de naviguer sous netcat
Temps de r´eponse al´eatoire cˆot´e serveur
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Difficilement envisageable
Se faire `a l’id´ee de naviguer sous netcat
Temps de r´eponse al´eatoire cˆot´e serveur
Lire ses mails avec gnus
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Remerciements
Merci pour votre attention.
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
Clap clap
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
... des questions ?
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline
Notions
Advanced CSRF
Conclusion
Solutions
... des questions ?
Anticipons :
Le papier complet, les slides et les sources du serveur sont
disponibles `a l’adresse suivante : http://esl.epitech.net/acsrf
NoScript ne sert strictement `a rien.
Le referer ne change pas sur un redirection 302.
Le serveur est en C dans un soucis de performances.
Le scripting du serveur est possible tr`es simplement.
Aucun enfant n’a ´et´e tu´e dans le cadre de ces recherches.
ESL != LSE
Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit

Contenu connexe

Similaire à Slides: SSTIC08 - Advanced CSRF for fun and profit

Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIP
Belkacem KAID
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip
Noël
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
Fabwice Bend'j
 

Similaire à Slides: SSTIC08 - Advanced CSRF for fun and profit (20)

White paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFWhite paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRF
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIP
 
Document technique lamp linux
Document technique lamp linuxDocument technique lamp linux
Document technique lamp linux
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenance
 
Securisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injectionSecurisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injection
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip
 
Analyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur WebAnalyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur Web
 
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way.  Par Pascal Edoua...XebiCon'16 : WeScale - DNS as a Service, the OpenStack way.  Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp Docker
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon   gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon   gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
 

Slides: SSTIC08 - Advanced CSRF for fun and profit

  • 1. Outline Notions Advanced CSRF Conclusion Advanced CSRF / Have fun and profit Manfred Touron — Vincent Guasconi Epitech Security Laboratory 5 juin 2008 Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 2. Outline Notions Advanced CSRF Conclusion Notions CSRF en trois cases beamer Pure blind SQL injection Advanced CSRF Le nouveau vecteur Le serveur PoC La d´emo Conclusion Solutions Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 3. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 4. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 5. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Un inconv´enient : Impossibilit´e de r´ecup´erer ou d’int´eragir avec la r´eponse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 6. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 7. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 8. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Technique applicable sur toutes les injections Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 9. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 10. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 11. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 12. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 13. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Possible depuis un mail, simple et anonyme Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 14. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 15. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 16. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 17. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Rendre exploitable une injection SQL sur un panel d’administration, ou zone restreinte depuis n’importe quel domaine (les injections SQL deviennent Cross Domain) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 18. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 19. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Les logs sur les serveurs HTTP attaqu´es portent uniquement la marque de la victime. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 20. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 21. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 22. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 23. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 24. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Permet de cibler un utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 25. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo D´EMO Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 26. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 27. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 28. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) N’interpr´eter sous aucune raison les mails en HTML Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 29. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 30. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 31. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Lire ses mails avec gnus Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 32. Outline Notions Advanced CSRF Conclusion Solutions Remerciements Merci pour votre attention. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 33. Outline Notions Advanced CSRF Conclusion Solutions Clap clap Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 34. Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 35. Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Anticipons : Le papier complet, les slides et les sources du serveur sont disponibles `a l’adresse suivante : http://esl.epitech.net/acsrf NoScript ne sert strictement `a rien. Le referer ne change pas sur un redirection 302. Le serveur est en C dans un soucis de performances. Le scripting du serveur est possible tr`es simplement. Aucun enfant n’a ´et´e tu´e dans le cadre de ces recherches. ESL != LSE Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit