Source: CNET News – Mots-clés : javascript
Catégories : Internet et réseau
Des chercheurs en sécurité ont trouvé le moyen, via JavaScript, d'accéder à un réseau domestique ou d'entreprise puis d'attaquer les périphériques connectés (routeurs, imprimantes...).
Le principe
La particularité de ce code, intégrable dans une page Web quelconque, est qu'il ne provoque pas d'alerte dans le navigateur qui se contente de l'exécuter purement et simplement. Dès lors, le script n'est pas gêné par le pare-feu puisque, rappelons-le, il s'exécute dans le navigateur. Billy Hoffman, un des chercheurs, indique avoir trouvé une méthode pour scanner le réseau, trouver les périphériques connectés et leur envoyer des commandes ou des attaques. Imaginez alors une imprimante se mettant à imprimer n'importe quoi ; la chose pourrait prêter à rire, mais qu'en est-il d'un routeur dont les paramètres de sécurité sont désactivés ? Un script de ce type placé sur un site piraté (avec le code injecté grâce à des vulnérabilités XSS) toucherait un très grand nombre d'internautes et de sociétés et pourrait provoquer de gros problèmes.
Les détails
Ce code correspond à un scanner qui envoie une requête à l'aide de l'objet JavaScript « Image » (comme un « ping ») pour trouver les machines connectées au réseau. Après, il ne reste qu'à détecter les particularités du périphérique et à lancer l'attaque. Le document de la société SPI Dynamics, une des deux sociétés qui s'est penchée sur le scanner (l'autre étant White Hat Security), indique que pour détecter un serveur IIS le scanner cherche l'image /pagerror.gif et vérifie sa taille. Il faut bien comprendre que ce code n'exploite aucune faille et qu'il n'existe donc actuellement aucun moyen de se défendre contre ce type de script, à moins de désactiver complètement JavaScript dans le navigateur.
La place du JavaScript
Avec l'essor du Web 2, JavaScript est de plus en plus présent, surtout grâce à une technique très à la mode en ce moment, AJAX (Asynchronous JavaScript and XML). Il existe bien entendu des failles dans dans JavaScript mais les chercheurs ne se sont jamais réellement penchés dessus. De plus, cette nouvelle méthode risque de faire certains dégâts, car c'est le fonctionnement même des applications qu'il faudra revoir. Enfin, bien qu'il existe déjà des scanneurs de ports (pour vérifier la sécurité d'un poste par exemple) programmés en JavaScript, celui de SPI Dynamics est bien plus complexe.
SPI Dynamics propose sur son site un document (au format PDF) expliquant plus en détail le fonctionnement du scanner, mais aussi un exemple d'exploitation de la faille.
- Kazaa est mort, vive Kazaa
- Dell abandonne la vente directe en Chine ?
- Skyrock : site le plus visité
- Amazon.com : baisse de chiffre d'affaires
- FT et Pages jaunes : le divorce
- Yahoo! vend de la musique non protégée
- +110% : mais qui arrêtera Google ?
- Ecole vs. Sacem : le malentendu
- Licenciée pour avoir bloggué
- Un FAI perd les mails de ses abonnés
La SNCF a lancé ce matin un service d'accès à internet sans fil dans le TGV Est. Un pari plus difficile à relever dans un train roulant à 320 km/h. La solution implantée par la SNCF est audacieuse, et mérite que l'on s'y attarde. Attention au départ...
Lire la suite
- [article ppc] Selection configurations-type
- Erreur système récalcitrante
- Windows n'a pu copier ....
- pc reboot tous seul (dès que navigue sur internet)
- pret a achete mais demande votre avis
- NTEL PIV 3.0 Ghz 533 ou INTEL PIV 3.0 Ghz 800??????
- Température Atlhon 2600 + FSB333 à 65° sous win XP
- [Topic Unique] Les logiciels gratuits [23/08/2005]
- [topic unique] Microsoft Office : Word Excel Oulook & affinités
- afficher masquer un div
Pour Firefox, utiliser l'extension "NoScript" qui permet d'autoriser ou non les sites à exécuter des scripts...
Sous IE, je ne connais pas par contre....
C'est pas nouveau que JavaScript, c'est dangereux...
Pour Firefox, utiliser l'extension "NoScript" qui permet d'autoriser ou non les sites à exécuter des scripts...
Sous IE, je ne connais pas par contre....
Mais c'est un des moyens actuels pour faire des sites beaucoup plus réactifs. Sans compter que les libraries AJAX d'aujourd'hui (donc utilisant massivement Javascript) permettent de considérablement simplifier le développement d'un site web en améliorant la cohérance du code entre le client et le serveur, en le simplifiant aussi; et en plus, cela peut limiter l'utilisation de la bande passante entre le client et le serveur (donc surf plus agréable; serveur web moins "chargé").
Cela dit, à y regarder de plus près, Javascript seul reste assez archaïque et a de grosse faiblesse (ne serait ce que le temps de calcul dès qu'il faut gérer des quantités de données un minimum importante en mémoire); il faudrait vraiment revoir en profondeur la manière et les outils à disposition "standards" pour développer des sites web (c'est à dire hors Flash et compagnie). Il y a des choses en cours, mais rien de super concret maintenant (enfin me semble t'il).
Peut-être existe-t-il la même chose pour IE mais je ne connais pas non plus et je n'utilise plus ce navigateur.
Sous FF, il trouve le PC 192.168.1.101 mais pas le serveur apache.
Enfin sous IE, il trouve également le PC, détecte le serveur mais ne peut déterminer son type.
Alors soit :
1 - mon réseau est plus sûr que je ne le pensais.
2 - encore du pipeau pour se faire connaitre.
Enfin, conclusion, Opera rulezzzz... parce que son moteur JS est bancal
il y a une option "demander", mais c très lourd