SlideShare uma empresa Scribd logo

Slides: SSTIC08 - Advanced CSRF for fun and profit

Manfred Touron
Manfred Touron

Advanced CSRF slides for SSTIC 2008

Internet
1 de 35
Baixar para ler offline
Outline Notions Advanced CSRF Conclusion Advanced CSRF / Have fun and profit Manfred Touron — Vincent Guasconi Epitech Security Laboratory 5 juin 2008 Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Notions CSRF en trois cases beamer Pure blind SQL injection Advanced CSRF Le nouveau vecteur Le serveur PoC La d´emo Conclusion Solutions Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Un inconv´enient : Impossibilit´e de r´ecup´erer ou d’int´eragir avec la r´eponse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Technique applicable sur toutes les injections Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Possible depuis un mail, simple et anonyme Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Rendre exploitable une injection SQL sur un panel d’administration, ou zone restreinte depuis n’importe quel domaine (les injections SQL deviennent Cross Domain) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Les logs sur les serveurs HTTP attaqu´es portent uniquement la marque de la victime. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Permet de cibler un utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo D´EMO Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) N’interpr´eter sous aucune raison les mails en HTML Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Lire ses mails avec gnus Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Remerciements Merci pour votre attention. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions Clap clap Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Anticipons : Le papier complet, les slides et les sources du serveur sont disponibles `a l’adresse suivante : http://esl.epitech.net/acsrf NoScript ne sert strictement `a rien. Le referer ne change pas sur un redirection 302. Le serveur est en C dans un soucis de performances. Le scripting du serveur est possible tr`es simplement. Aucun enfant n’a ´et´e tu´e dans le cadre de ces recherches. ESL != LSE Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit

Recomendados

Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-ciscoMoctarThiongane
 
Alphorm.com Formation hak5 : USB Rubber Ducky
Alphorm.com Formation hak5 : USB Rubber DuckyAlphorm.com Formation hak5 : USB Rubber Ducky
Alphorm.com Formation hak5 : USB Rubber DuckyAlphorm
 
Alphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsenseAngelito Mandimbihasina
 

Recomendados

Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-ciscoMoctarThiongane
 
Alphorm.com Formation hak5 : USB Rubber Ducky
Alphorm.com Formation hak5 : USB Rubber DuckyAlphorm.com Formation hak5 : USB Rubber Ducky
Alphorm.com Formation hak5 : USB Rubber DuckyAlphorm
 
Alphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsenseAngelito Mandimbihasina
 
White paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFWhite paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFManfred Touron
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 
Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIPBelkacem KAID
 
Document technique lamp linux
Document technique lamp linuxDocument technique lamp linux
Document technique lamp linuxSébastien Belmonte
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final PresentationBedreddine Zarrouk
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenanceNerdDev
 
Securisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injectionSecurisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injectionZakaria SMAHI
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpipNoël
 
Analyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur WebAnalyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur WebBa-Consultants
 
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...Publicis Sapient Engineering
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachjean-yves Trarbach
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21Yassmina AGHIL
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hadyMamadouHadyBah
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
 

Mais conteúdo relacionado

Semelhante a Slides: SSTIC08 - Advanced CSRF for fun and profit

White paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFWhite paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFManfred Touron
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 
Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIPBelkacem KAID
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenanceNerdDev
 
Securisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injectionSecurisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injectionZakaria SMAHI
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpipNoël
 
Analyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur WebAnalyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur WebBa-Consultants
 
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...Publicis Sapient Engineering
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachjean-yves Trarbach
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
 

Semelhante a Slides: SSTIC08 - Advanced CSRF for fun and profit (20)

White paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFWhite paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRF
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIP
 
Document technique lamp linux
Document technique lamp linuxDocument technique lamp linux
Document technique lamp linux
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenance
 
Securisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injectionSecurisation des web services soap contre les attaques par injection
Securisation des web services soap contre les attaques par injection
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip
 
Analyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur WebAnalyse d'un WebShell trouvé sur un serveur Web
Analyse d'un WebShell trouvé sur un serveur Web
 
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
XebiCon'16 : WeScale - DNS as a Service, the OpenStack way. Par Pascal Edoua...
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp Docker
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
 

Slides: SSTIC08 - Advanced CSRF for fun and profit

  • 1. Outline Notions Advanced CSRF Conclusion Advanced CSRF / Have fun and profit Manfred Touron — Vincent Guasconi Epitech Security Laboratory 5 juin 2008 Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 2. Outline Notions Advanced CSRF Conclusion Notions CSRF en trois cases beamer Pure blind SQL injection Advanced CSRF Le nouveau vecteur Le serveur PoC La d´emo Conclusion Solutions Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 3. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 4. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 5. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Un inconv´enient : Impossibilit´e de r´ecup´erer ou d’int´eragir avec la r´eponse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 6. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 7. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 8. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Technique applicable sur toutes les injections Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 9. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 10. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 11. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 12. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 13. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Possible depuis un mail, simple et anonyme Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 14. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 15. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 16. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 17. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Rendre exploitable une injection SQL sur un panel d’administration, ou zone restreinte depuis n’importe quel domaine (les injections SQL deviennent Cross Domain) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 18. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 19. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Les logs sur les serveurs HTTP attaqu´es portent uniquement la marque de la victime. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 20. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 21. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 22. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 23. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 24. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Permet de cibler un utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 25. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo D´EMO Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 26. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 27. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 28. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) N’interpr´eter sous aucune raison les mails en HTML Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 29. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 30. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 31. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Lire ses mails avec gnus Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 32. Outline Notions Advanced CSRF Conclusion Solutions Remerciements Merci pour votre attention. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 33. Outline Notions Advanced CSRF Conclusion Solutions Clap clap Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 34. Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  • 35. Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Anticipons : Le papier complet, les slides et les sources du serveur sont disponibles `a l’adresse suivante : http://esl.epitech.net/acsrf NoScript ne sert strictement `a rien. Le referer ne change pas sur un redirection 302. Le serveur est en C dans un soucis de performances. Le scripting du serveur est possible tr`es simplement. Aucun enfant n’a ´et´e tu´e dans le cadre de ces recherches. ESL != LSE Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit