[gull] messages en format texte svp

Leopoldo Ghielmetti Leopoldo.Ghielmetti at a3.epfl.ch
Wed Jan 12 11:20:02 CET 2005 

On Wed, 2005-01-12 at 10:21, Marc Mongenet wrote:
> Félix Hauri wrote:
> > On Tue, Jan 11, 2005 at 03:03:53PM +0100, Marc Mongenet wrote:
> > 
> >>Mais je ne parlais que du cookie. Si le cookie n'est pas envoyé avec la 
> >>requête, le truc présenté par Marc Schaefer ne fonctionne pas.
> >>
> > 
> > Si!
> > 
> > L'attaquant n'a aucun besoin du cookie!
> > 
> > Le cookie n'est pas envoyé à un autre site que celui pour lequel il est prévu (le 
> > serveur webmin).
> > 
> > C'est le bon navigateur, qui s'adresse au bon site!!!
> > 
> > Le seul truc, c'est que l'initiateur de la requete n'est pas l'utilisateur mais 
> > une image cachée dans le code html qui déclanchera la requete à l'insu du plein 
> > gré de l'utilisateur!!!
> > 
> > :-\
> > 
> 
> Oui mais comme je disais, si le cookie n'est pas envoyé (au serveur 
> Webmin), alors l'attaque ne fonctionne pas.
> 
> J'espère que les navigateurs n'envoient pas le cookie dans ce cas 
> (requête initiée par un document ne venant pas du serveur d'origine), 
> mais je n'en sais rien.

Ce que je sais c'est qu'un cookie est envoyé à celui qui en fais la
requête. Il y à aussi des sites commerciaux qui gardent des statistiques
en regardant les sites visités (en se basant sur les cookies). Et pour
les collecter ils se basent sur les cookies envoyées par les "banners"
publicitaires.
Donc ça ne m'étonnerait pas que la méthode présenté par Marc Schaefer
puisse marcher sur la plupart des systèmes.

Au fond un cookie est envoyé (ou reçu) si quelqu'un en fait la requête,
et même en les limitant à leurs sites créateurs ça n'empêcherait pas à
webmin d'en faire la requête et de l'obtenir en tant que cookie valide
(puisqu'il serait validé car généré par le site webmin lui même).

Si j'ai bien compris les opérations sont les suivantes:
- accès au webmin local
- webmin stocke un coockie local
- accès au site "pirate"
- le site "pirate" inclut un lien sur le webmin local
- le brower envoie la requête au webmin
- le webmin demande le cookie
- le browser controle que le site demandeur (webmin) à bien le droit de
lire le cookie (généré par webmin lui même). réponse: Oui
- le browser envoie le cookie au webmin

La seule solution serait de fermer le browser pour invalider le cookie
(en supposant que le cookie lui même soit invalidé par la fermeture du
browser).
Une autre possibilité est que le browser annule la session webmin (et du
même coup invalide le cookie) au moment ou on clique sur un autre site.
Pour le vérifier il suffit d'ouvrir le webmin, s'identifier et ensuite
aller sur un autre site, enfin entrer à la main l'URL d'une page webmin
et voir s'il redemande l'identification, s'il ne la demande pas c'est
que le cookie est encore valide.

Une autre solution encore plus simple est celle de créer une page
contenante l'exploit et voir si ça marche. :-P

> Marc Mongenet

ciao, Leo

P.S.: je ne suis pas un expert du web, celles que j'ai fait ici sont
uniquement des suppositions logiques basées sur ce que je sais sur le
fonctionnement du web et des browsers. Si quelqu'un découvre une faille
dans le raisonnement qu'il le dise, ce que je viens d'écrire me
préoccupe assez (même si je n'utilise pas le webmin il y à mille autre
façons d'exploiter une pareille possibilité).

More information about the gull mailing list