Il existe plusieurs types de failes XSS :
Les vulnérabilités XSS de type "persistente" ou "stored" en anglais, permet des exploitations plus en profondeur. C’est la faille des livres d’or, présente dans les forums, les formulaires d’inscription. La différence essentielle est que les données entrées sont stockées dans des bases de données et sont renvoyées dès qu’un utilisateur les demande. Par conséquent, on peut affecter n’importe qui sollicitera un certain sujet dans un forum ou la liste des pseudos enregistrés, etc.. Cette faille peut permettre des éxécutions côté client ou côté serveur selon les cas et peut permettre tout type d’exploitation, de la récupération de cookies à l’éxécution de scripts malveillants. On a vu des XSS intégrés à des bases de données institutionnels rendant inaccessibles des dizaines de sites dépendants de ces contenus.
Un petit exemple
Nous allons illuster ceci avec un XSS de type 2. Voici un exemple de site contenant trois pages : index.php est la page d’inscription à une mailing list, list.php est la page qui contient la liste des membres de la liste. Enfin, inscription.php est une page fantôme à laquelle est envoyé le mail du nouvel inscrit qui vérifie brièvement si il s’agit d’un email valide et qui l’enregistre dans la base de données.
index.php - Bases Hacking Mailing List
- <html>
- <head>
- <title>Faille de type Cross Site Scripting</title> </head>
- <body>
- <br>
- <ul>
- <li>Inscrivez-vous en un clic :<br>
- <div align="center">
- <form method="POST" action="./inscription.php">
- <font size="-1">Apparition sur la liste des inscrits ?</font><input type="radio" name="anonyme"><br><br>
- <input type="submit" name="envoi" value="Inscrivez-vous !"> </form> </div> </li>
- <br><br>
- <li>
- Vous pouvez consulter la liste des personnes déjà inscrites <a href="liste.php">ici</a>
- </li>
- </ul>
- </body>
- </html>
liste.php - Liste des inscrits
- <html>
- <head>
- <div align="center"><h1>Bases Hacking Mailing List !</h1></div>
- <title>Faille de type Cross Site Scripting</title>
- </head>
- <body>
- <br>
- <ul>
- Voici la liste des inscrits non-anonymes : <br><ul>
- <?
- @mysql_connect("localhost", "serioushack", "motdepassemysql") or die("Impossible de se connecter à la base de données");
- {
- echo "- ".$mail."<br>"; }
- else echo "Aucun inscrit non-anonyme pour le moment<br>";
- </ul>
- <br>
- Pour retourner au formulaire d'inscription, c'est <a href="./">ici</a></ul>
- </body>
- </html>
inscription.php - Inscription d’une adresse mail
- <?
- $email = $_POST["adresse"];
- $anonyme = $_POST["anonyme"];
- if ($anonyme == "on") $anonyme = 0;
- else $anonyme = 1;
- @mysql_connect("localhost", "serioushack", "motdepassemysql") or die("Impossible de se connecter à la base de données");
- }
- ?>
Nous n’allons pas expliquer le code en détail, car il n’y a aucun intérêt à celà : il demande la saisie d’une adresse mail, il l’enregistre si elle possède bien un ’@’, un . et une extension entre 2 et 4 caractères. Ensuite, la page liste.php ressort les adresses de la base de données.
Nous préférons vous montrer le but de ces pages avec quelques screenshots. Tout d’abord, voici ce qui se passe quand tout se passe bien :
Nous allons maintenant profiter de la faille qu’offre ce site et nous allons injecter le script
<script>alert("S3ri0usH4cK WuZ H3r3")</script>@h4ck3d.com
et voir ce qui se passe :
Comme l’on pouvait s’y attendre, le script est éxécuté tel quel et tout utilisateur voulant voir la liste des utilisateurs de la mailing liste verra le petit code que nous avons injecté.
Nous ne donnerons pas d’exemple de scripts XSS malveillants ici, le net en est rempli. Ils demandent juste la connaissance des langages de scripting du web.
Souvent délaissée par les programmeurs, cette faille est à prendre au sérieux d’autant qu’elle est facile à corriger.