Détail d'une attaque avec JavaScript
Actu suivante
Des chercheurs en sécurité ont trouvé le moyen, via JavaScript, d'accéder à un réseau domestique ou d'entreprise puis d'attaquer les périphériques connectés (routeurs, imprimantes...).
Le principe
La particularité de ce code, intégrable dans une page Web quelconque, est qu'il ne provoque pas d'alerte dans le navigateur qui se contente de l'exécuter purement et simplement. Dès lors, le script n'est pas gêné par le pare-feu puisque, rappelons-le, il s'exécute dans le navigateur. Billy Hoffman, un des chercheurs, indique avoir trouvé une méthode pour scanner le réseau, trouver les périphériques connectés et leur envoyer des commandes ou des attaques. Imaginez alors une imprimante se mettant à imprimer n'importe quoi ; la chose pourrait prêter à rire, mais qu'en est-il d'un routeur dont les paramètres de sécurité sont désactivés ? Un script de ce type placé sur un site piraté (avec le code injecté grâce à des vulnérabilités XSS) toucherait un très grand nombre d'internautes et de sociétés et pourrait provoquer de gros problèmes.
Les détails
Ce code correspond à un scanner qui envoie une requête à l'aide de l'objet JavaScript « Image » (comme un « ping ») pour trouver les machines connectées au réseau. Après, il ne reste qu'à détecter les particularités du périphérique et à lancer l'attaque. Le document de la société SPI Dynamics, une des deux sociétés qui s'est penchée sur le scanner (l'autre étant White Hat Security), indique que pour détecter un serveur IIS le scanner cherche l'image /pagerror.gif et vérifie sa taille. Il faut bien comprendre que ce code n'exploite aucune faille et qu'il n'existe donc actuellement aucun moyen de se défendre contre ce type de script, à moins de désactiver complètement JavaScript dans le navigateur.
La place du JavaScript
Avec l'essor du Web 2, JavaScript est de plus en plus présent, surtout grâce à une technique très à la mode en ce moment, AJAX (Asynchronous JavaScript and XML). Il existe bien entendu des failles dans dans JavaScript mais les chercheurs ne se sont jamais réellement penchés dessus. De plus, cette nouvelle méthode risque de faire certains dégâts, car c'est le fonctionnement même des applications qu'il faudra revoir. Enfin, bien qu'il existe déjà des scanneurs de ports (pour vérifier la sécurité d'un poste par exemple) programmés en JavaScript, celui de SPI Dynamics est bien plus complexe.
SPI Dynamics propose sur son site un document (au format PDF) expliquant plus en détail le fonctionnement du scanner, mais aussi un exemple d'exploitation de la faille.
Source : CNET News
Actualités autour du même sujet
-
Actualité précédente
Une société iranienne présente son... -
Actualité suivante
ATI : une X1950XT pour compléter la...
- Sipprimer une option d'une liste (select) avec javascript [Programmation]
- Javascript [Programmation]
- Javascript: mes: messages ne s'affichent pas [Programmation]
- Javascript video [Le monde de Windows]
- Javascript:void(0) [Le monde de Windows]
Posez votre question sur ce sujet à la communauté !
Sujets relatifs sur le forum
- Quel Ventilo sur quelle prise ?
- [article ppc] Selection configurations-type
- Erreur système récalcitrante
- Windows n'a pu copier ....
- pc reboot tous seul (dès que navigue sur internet)
- pret a achete mais demande votre avis
- NTEL PIV 3.0 Ghz 533 ou INTEL PIV 3.0 Ghz 800??????
- Température Atlhon 2600 + FSB333 à 65° sous win XP
- [Topic Unique] Les logiciels gratuits [23/08/2005]
- [topic unique] Microsoft Office : Word Excel Oulook & affinités
- afficher masquer un div
- probleme croix rouge
- Creer mon forum en phpbb ?
- problème copier/coller sur dreamweaver
Les offres du moment
Présence-PC a 10 ans !
Il y a 10 ans jour pour jour, 3 étudiants se réunissaient pour créer Présence PC. Nous revenons donc aujourd'hui sur la première version du site, et sur le test que nous publiâmes en décembre 1999 : celui de la carte mère Abit BE6-II. Lire la suite
-
La fraude financière ne s’arrête pas
L'avis de François Paget, membre fondateur du groupe de recherche Avert au sein de McAfee, sur l'évolution de la sécurité des transactions financières sur Internet. Lire la suite
-
Internet dans le TGV : comment ça marche ?
La SNCF a lancé ce matin un service d'accès à internet sans fil dans le TGV Est. Un pari plus difficile à relever dans un train roulant à 320 km/h. La solution implantée par la SNCF est audacieuse, et mérite que l'on s'y attarde. Attention au départ... Lire la suite
- SIEMENS INDUSTRY - MOBILITY - INGÉNIEUR SYSTÈME POSTE DE COMMANDE CENTRALISÉE (H/F)
- SIEMENS INDUSTRY - MOBILITY - INGENIEUR INTEGRATION ET VALIDATION LOGICIEL POUR LES EQUIPEMENTS VIDEO PHONIE (H/F)
- SIEMENS INDUSTRY - MOBILITY - CHEF DE PROJET INFORMATIQUE (H/F)
- SIEMENS IT SOLUTIONS & SERVICES - CONTRÔLEUR DE GESTION / GESTIONNAIRE DE PROJET (H/F)
- SIEMENS HEALTHCARE - WORKFLOW & SOLUTIONS - INGENIEUR DEVELOPPEMENT FRAMEWORK MUMPS (H/F)
- meilleures applications iphone
- ipod touch 3gs
- geforce 8800 gtx
- geforce 8800 gtx
- meilleur netbook windows 7
- reglage appareil photo reflex
- ouvrir fichier ai
- ati 5750 test
- numero alice service client
- javascript submit
- fuite logiciel cofee
- core 2 duo e6750
- comment enlever trustedinstaller
- cohiba 3887 rev0 driver vista
- envoyer voeux originaux
- disque dur externe connection tv
- graver mac os x snow leopard
- comment mettre jour driver sata
- cherche.us
- six engine windows 7
C'est pas nouveau que JavaScript, c'est dangereux...
Pour Firefox, utiliser l'extension "NoScript" qui permet d'autoriser ou non les sites à exécuter des scripts...
Sous IE, je ne connais pas par contre....
C'est pas nouveau que JavaScript, c'est dangereux...
Pour Firefox, utiliser l'extension "NoScript" qui permet d'autoriser ou non les sites à exécuter des scripts...
Sous IE, je ne connais pas par contre....
Mais c'est un des moyens actuels pour faire des sites beaucoup plus réactifs. Sans compter que les libraries AJAX d'aujourd'hui (donc utilisant massivement Javascript) permettent de considérablement simplifier le développement d'un site web en améliorant la cohérance du code entre le client et le serveur, en le simplifiant aussi; et en plus, cela peut limiter l'utilisation de la bande passante entre le client et le serveur (donc surf plus agréable; serveur web moins "chargé").
Cela dit, à y regarder de plus près, Javascript seul reste assez archaïque et a de grosse faiblesse (ne serait ce que le temps de calcul dès qu'il faut gérer des quantités de données un minimum importante en mémoire); il faudrait vraiment revoir en profondeur la manière et les outils à disposition "standards" pour développer des sites web (c'est à dire hors Flash et compagnie). Il y a des choses en cours, mais rien de super concret maintenant (enfin me semble t'il).
+1 pour "No Script" qui permet de filtrer les sites autorisés ou non à exécuter des java scripts. Merci FireFox. :=)
Peut-être existe-t-il la même chose pour IE mais je ne connais pas non plus et je n'utilise plus ce navigateur.
Je viens de tester avec Opera sous XP sur une plage réduite (10 IP) sur mon réseau local. Le truc a renvoyé des réponses complètement fausses, trouvant un serveur (Unknown Webserver) en 192.168.1.110 (PC inexistant), ne détectant pas mon serveur apache en 192.168.1.101.

Sous FF, il trouve le PC 192.168.1.101 mais pas le serveur apache.
Enfin sous IE, il trouve également le PC, détecte le serveur mais ne peut déterminer son type.
Alors soit :
1 - mon réseau est plus sûr que je ne le pensais.
2 - encore du pipeau pour se faire connaitre.
Enfin, conclusion, Opera rulezzzz... parce que son moteur JS est bancal
pour ie il faut désactiver "active scripting" dans les options de sécurité
il y a une option "demander", mais c très lourd