3 attaques de script intersites malveillantes de la dernière décennie
Le scénario multi-sites (ou XSS) se classe septième dans le top dix sur OWASP, le document standard reconnu par l'industrie répertoriant les risques de cybersécurité les plus critiques.
La Fondation OWASP recommande aux entreprises d'utiliser ce document pour comprendre les vulnérabilités de sécurité les plus courantes et comment les minimiser dans leurs applications Web.
Cela signifie que les scripts intersites (ou XSS) sont l'une des erreurs les plus courantes que les cybercriminels collectent pour infiltrer les réseaux ou les systèmes d'entreprise. Et l'histoire le prouve: les attaquants ont exploité cette vulnérabilité dans de multiples cyberattaques et ont nui à des millions de ces organisations, et ces organisations dépensent à leur tour d'énormes sommes d'argent pour essayer d'arrêter ces attaquants.
Pour cette raison, il est important pour les professionnels de la sécurité de comprendre les scripts sur différents sites Web et d'évaluer leur état de sécurité. Examinons un exemple d'attaque de script intersite pour comprendre comment cette attaque a été planifiée et pour comprendre les conséquences de cette vulnérabilité.
British Airways
British Airways - la deuxième compagnie aérienne britannique - a été confrontée à des données en 2018. La violation a affecté 380 000 transactions de réservation entre août et septembre 2018. Heureusement, l'avion a été intercepté par des chercheurs de RiskIQ, ce que British Airways corrige.
La violation serait liée à Magecart, un groupe de pirates informatiques connus pour utiliser des techniques d'écrémage de cartes pour obtenir des informations de carte de crédit sensibles à partir de pages de paiement non sécurisées sur des sites Web populaires. Le processus d'écrémage fonctionne dans cette attaque, exploitant une vulnérabilité de script intersite en utilisant une bibliothèque JavaScript malveillante appelée Feedify. Étonnamment, cette approche a également été utilisée par des attaquants pour harceler Ticketmaster.
Dans cette attaque, le fichier JavaScript a été modifié pour que les données du client soient écrites et envoyées au serveur d'attaque (baways.com pour éviter les soupçons) lorsque l'utilisateur soumet le formulaire. Les attaquants sont assez intelligents pour même acheter un certificat de sécurité (SSL) pour leur serveur malveillant afin que l'ensemble du site Web semble sûr pour les navigateurs Web et les utilisateurs. Cela ne laisse aucun doute sur le fait que les utilisateurs se méfient du site Web lorsqu'ils effectuent des paiements et ont perdu les détails de leur carte de crédit.
Fortnite
Fortnite - le jeu vidéo en ligne populaire d'Epic Games - a fait l'objet d'une attaque qui a entraîné une violation de données en janvier 2019. Le problème est un site Web retiré et non sécurisé avec une vulnérabilité de script malveillant qui permet aux pirates un accès illimité à jusqu'à 200 millions d'utilisateurs. Les objectifs potentiels des attaquants sont de voler la monnaie virtuelle du jeu et d'enregistrer les conversations des joueurs. Cela peut fournir de nombreuses informations utiles sur vos futures attaques.
Fortnite est devenu une cible de choix pour les cybercriminels en raison de sa popularité. En 2018-2019, Fortnite a été nominé pour 35 prix de jeu et a remporté 19 titres, dont "Jeu eSport de l'année", "Meilleur jeu multijoueur / compétitif" et "Jeu en ligne de l'année". Statista rapporte que Fortnite comptait 350 millions d'utilisateurs enregistrés en mai 2020, ce qui en fait une cible lucrative pour les pirates.
Un problème particulier avec cette attaque est l'utilisation de vulnérabilités de script entre les sites Web et l'exploitation d'adresses uniques non sécurisées. En exploitant ces deux vulnérabilités, les attaquants peuvent rediriger les joueurs vers des sites Web suspects où les informations des joueurs et / ou la monnaie virtuelle pourraient être volées. Bien que Check Point - un chercheur en sécurité - ait intercepté ce problème en janvier 2019 et signalé à Fortnite et Fortnite le corrigeant, il n'existe aucune méthode pour garantir que cette vulnérabilité ne fasse plus partie d'une cyberattaque plus large.
eBay
eBay est un marché bien connu pour l'achat et la vente de produits par ou pour les entreprises et les consommateurs. Bien que des vulnérabilités de script se soient produites à plusieurs reprises sur divers sites Web dans le passé, les vulnérabilités disponibles de décembre 2015 à janvier 2016 étaient très dangereuses. C'est dangereux car il s'agit d'une simple vulnérabilité qui peut facilement être assemblée pour faire des ravages sur les utilisateurs d'eBay. Et comme les consommateurs achètent ou vendent généralement des produits sur eBay, les attaquants peuvent accéder aux produits des utilisateurs, les vendre à rabais, voler leurs informations de paiement, etc.
Dans cette vulnérabilité, eBay a un paramètre "URL" qui est utilisé pour rediriger les utilisateurs vers la bonne page. Cependant, les valeurs des paramètres ne sont pas vérifiées avant d'être entrées dans la page. Cela en fait une vulnérabilité de sécurité. Un attaquant peut utiliser cette vulnérabilité pour insérer du code malveillant dans une page, obligeant l'utilisateur à exécuter les commandes de l'attaquant. Par exemple, les attaquants peuvent avoir ajouté du code pour voler les informations d'identification des utilisateurs et détruire les comptes piratés.
Ce sont quelques-unes des attaques de script intersites les plus dangereuses de la dernière décennie. Dans tous les cas de script ci-dessus sur différents sites Web, la première étape d'atténuation consiste à réécrire le code de sécurité à partir de zéro. Les scripts intersites (XSS) sont l'une des vulnérabilités les plus courantes. Pour cette raison, il existe de nombreux outils d'analyse de code qui peuvent être utilisés pour identifier et corriger les vulnérabilités du code.
Deuxièmement, mais plus important encore, le code doit toujours valider et valider l'entrée de l'utilisateur - en particulier lorsque des données sont entrées dans une page Web dans le présent ou dans le futur. Le code doit également restreindre les entrées utilisateur pour éviter ou filtrer les caractères spéciaux, ou pour éliminer les entrées longues.