211service.com
Un plan pour arrêter les attaques de navigateur
À mesure que le contenu généré par les utilisateurs est devenu plus populaire en ligne, les sites Web permettent de plus en plus aux utilisateurs de personnaliser, par exemple, leurs commentaires de blog ou leurs publications sur des sites de réseaux sociaux avec du code HTML. Cependant, cela ouvre également les sites Web au risque d'un type d'attaque connu sous le nom de script intersites, qui peut permettre aux attaquants de voler des informations aux utilisateurs via un site de confiance.
La semaine prochaine, au Symposium IEEE sur la sécurité et la confidentialité , à Oakland, en Californie, des chercheurs du Université de l'Illinois à Chicago présentera une nouvelle façon de se défendre contre les scripts intersites. L'approche permet à un site Web de contrôler la manière dont le contenu généré par l'utilisateur est transmis à un navigateur Web, neutralisant potentiellement les attaques de scripts intersites avant qu'elles n'atteignent la victime visée.
Les scripts intersites impliquent que le navigateur d'un utilisateur exécute un script non autorisé injecté quelque part sur les pages d'un site Web apparemment digne de confiance. Le script peut permettre à un attaquant de voler les identifiants de connexion d'un utilisateur ou d'autres informations sensibles.
Les scripts intersites sont la vulnérabilité la plus répandue sur Internet, selon Jérémie Grossman , fondateur et directeur de la technologie pour Sécurité du chapeau blanc , qui n'a pas participé à la recherche. C'est une sorte de cafard là-bas dans l'industrie. Grossman dit que les nouveaux sites Web sont mieux équipés pour se défendre contre les scripts intersites, mais il existe encore des millions de sites vulnérables sur Internet. Nous avons besoin d'alternatives pour corriger le code, dit-il.
Les chercheurs de l'Université de l'Illinois ont développé une couche de logiciel, appelée Blueprint, que les développeurs Web peuvent insérer entre les pages générées par les utilisateurs et le navigateur. Les chercheurs ont conçu Blueprint pour qu'il fonctionne avec huit principaux navigateurs, qui représentent plus de 96 % de la part de marché actuelle, et ont testé le système contre 94 types d'attaques de scripts intersites provenant d'un référentiel Internet appelé XSS Cheat Sheet. Ils ont constaté qu'il a réussi à empêcher toutes les attaques de la liste.
Blueprint se trouve sur les serveurs d'un site Web, lit le code HTML généré par l'utilisateur et le compare à une liste blanche de code de confiance. Il supprime tous les scripts potentiellement dangereux et décide comment le contenu doit apparaître dans un navigateur. Ensuite, il reformate les informations et les transmet au navigateur. Blueprint s'assure, par exemple, d'éviter les caractères et symboles qui sont parfois utilisés pour envoyer des signaux de script non autorisés au navigateur d'un utilisateur. Le contenu non nocif devrait traverser le processus sans en être affecté, selon les chercheurs.
La racine du problème, explique V. N. Venkatakrishnan , professeur adjoint d'informatique qui a participé au projet, est que les navigateurs ont été conçus à l'origine pour pardonner le code de page Web mal écrit. Les navigateurs essaient de faire le meilleur rendu possible de tout type de contenu mal formaté, dit-il.
Au fil des ans, différents navigateurs ont développé leurs propres manières d'interpréter un contenu mal formaté. Les attaquants peuvent en tirer parti en insérant du code HTML qui s'exécutera en tant que script dans le bon navigateur. Cela rend le problème du filtrage du contenu HTML pour les scripts très, très difficile, explique Venkatakrishnan. Des efforts sont en cours pour changer le fonctionnement des navigateurs, mais les chercheurs disent qu'une autre solution est nécessaire en attendant.
Ce que nous voulons faire, c'est retirer à l'analyseur du navigateur la possibilité de prendre des décisions d'identification de script sur le contenu non fiable fourni par l'application Web, explique Venkatakrishnan.
Robert Hansen , PDG et fondateur de la société de sécurité Internet SecTheory, qui gère le XSS Cheat Sheet, déclare que, bien que Blueprint protège contre la plupart des principales menaces de scripts intersites, il ne couvre pas toutes les menaces possibles. Il existe d'autres moyens d'obtenir des éléments rendus dans un navigateur, et malheureusement, cela ne couvre aucun d'entre eux, dit-il.
Hansen ajoute que le système des chercheurs protège le contenu en l'enveloppant dans un script que les moteurs de recherche ne peuvent pas lire. Ce n'est pas une panacée, dit-il, mais c'est le gros problème. Hansen dit que les scripts intersites sont un problème trop complexe pour être arrêté sans changer le fonctionnement du navigateur.