Le monde des bisounours

• dans lequel on suppose que:
  • les entréés de l'utilisateur sont valides
  • l'utilisateur n'a pas de mauvaises intentions
  • aucune erreur ou problème ne surviendront
  • ...
• ... n'est malheureusement pas un monde réaliste !

Le monde réel

• Pour écrire du code sûre, on doit prévoir:
  • des entrées invalides
  • des utilisateurs mal intentionnés
  • des utilisateurs incompétents
  • "tout peut aller mal, et... ira mal !"
  • tout le monde est là pour "vous avoir"
  • botnets, hackers, script kiddies, voir la CIA, ou le FSB rodent
• Ne rien supposé garanti à-priori; ne faire confiance à personne !

Les buts de l'attaquant

Pourquoi un attaquant cible votre site ?

• Lire des données privées (nom d'utilisateur et login, mot de passe, numero de carte de crédit, le sujet d'examen...)
• Modifier des données (changer vos notes d'examen ;-) , le prix des produits, des mots de passe etc.)
• Spoofing (se faire passer pour ce que l'on n'est pas (mentir sur son identité ou son adresse IP par exemple)
• Endommager ou arrêter le site, afin qu'il ne puisse être utilisé normalement par d'autre
• Nuire à la réputation ou la crédibilité de l'organisation/société/personne qui gère ou héberge le site
• Propager des virus et autres logiciels malveillants
• ...

Outils utilisées par les attaquants

Toujours supposer que l'attaquant connait votre web et a les même outils que vous

• Firebug ou La barre d'outils Web Developer
• scnan de port , e.g. nmap example
• Analyseur de paquets (renifleurs/sniffers), e.g. Wireshark, EtherDetect, Firesheep

Quelques types d'attaques

• Déni de service (DoS) : Rendre un serveur inaccessible en le "bombardant" de requêtes.
• Ingénierie sociale : Persuader (par la ruse) un utilisateur de compromettre volontairement (mais sans s'en rendre compte) la sécurité d'un site ( par exemple le phishing)
• Elévation de Privilèges : Faire executer le code dans un contexte "privilégié" (par exemple comme "root")
• Fuite d'information : Permettant à un attaquant d'examiner les données, fichiers, etc qu'il ne devrait pas être autorisé à voir
• Man-in-the-Middle : Placer une machine "malveillante" dans le réseau et l'utiliser pour intercepter le trafic
• Vol de session: voler le cookie de session d'un autre utilisateur et se faire passer pour lui
• Cross-Site Scripting (XSS) ou injection HTML: Insertion de code HTML ou JavaScript (potentiellement malveillant) dans une page web
• Injection SQL : Insertion de code SQL (potentiellement malveillant) dans une requête afin de révéler ou de modifier des données sensibles

La fuite d'information

Lorsque l'attaquant peut examiner des données, fichiers, etc qu'il ne devrait pas être autorisé à voir

• des fichiers sur le serveur web qui ne devraient pas être la !
  • ou avoir des permission "trop généreuses" (read/write pour tous)
• des repertoires qui listent leur contenu (indexing)
  • peut etre desactivé sur le serveur
• deviner les noms des fichiers, des répertoires, des ressources
  • si on voit loginfail.php, essayer loginsuccess.php
  • si on voit user.php?id=123, essayer user.php?id=456
  • si on voit /data/public, essayer /data/private

Injection HTML

Quand une faille permet a l'utilisateur d'injecter du code HTML arbitraire dans votre page

• Cette faille existe souvent quand une page accepte les entrées de l'utilisateur et les insère telles quelles dans la page.
• c'est encore pire si il les stocke tel quel et les réaffiche plus tard (éventuellement avec un autre utilisateur)
• example à faire dans Firefox (car dans Chrome:ERR_BLOCKED_BY_XSS_AUDITOR)): question-reponse.html
• Quels types de contenus stupides ou malveillants peuvent être injecter dans la page? Pourquoi est-ce mauvais?

Injection de contenu HTML/CSS

reponse-non-sure.php?question=<b style="color:red">c'est pas juste du texte </b>
				

• le contenu injecté peut conduire à:
  • une gêne / une confusion
  • une détérioration des données sur le serveur
  • une exposition des données privées sur le serveur
  • une gain ou une perte financière
  • la fin de la race humaine... ;-)
  • ...
• pourquoi l'injection HTML est elle mauvaise? elle permet aux autres de:
  • perturber le flux / layout de votre site
  • "mettre des mots dans votre bouche"
  • éventuellement exécuter du code malveillant sur les ordinateurs de vos utilisateurs

Cross-site scripting (XSS)

une faille où l'utilisateur est en mesure d'injecter et exécuter du code JavaScript arbitraire dans la page

reponse-non-sure.php?question=<script type='text/javascript'>alert('pouet !');</script>
				

• JavaScript est souvent en mesure d'être injecté à cause d'une injection HTML précédente
• Essayer de soumettre ça comme question dans l'exemple précédent:
  • <script type="text/javascript" src="http://panzi.github.com/Browser-Ponies/basecfg.js" id="browser-ponies-config"></script><script type="text/javascript" src="http://panzi.github.com/Browser-Ponies/browserponies.js" id="browser-ponies-script"></script><script type="text/javascript">/* <![CDATA[ */ (function (cfg) {BrowserPonies.setBaseUrl(cfg.baseurl);BrowserPonies.loadConfig(BrowserPoniesBaseConfig);BrowserPonies.loadConfig(cfg);})({"baseurl":"http://panzi.github.com/Browser-Ponies/","fadeDuration":500,"volume":1,"fps":25,"speed":3,"audioEnabled":false,"showFps":false,"showLoadProgress":true,"speakProbability":0.1,"spawn":{"applejack":1,"fluttershy":1,"pinkie pie":1,"rainbow dash":1,"rarity":1,"twilight sparkle":1},"autostart":true}); /* ]]> */</script>
• du code de javascript injecté peut:
  • se faire passé pour la page originale et poussez l'utilisateur à saisir des données sensibles (fausse page de banque...)
  • voler les cookies de l'utilisateur (accés aux pages privilegiés)
  • se faire passer pour l'utilisateur et fournir des données en leur nom (soumettre des formulaires, cliquer sur des boutons, etc)
  • ...

Protection contre les injections HTML / XSS

• Idée: interdire les caractères dangereux
  • l'injection HTML est impossible sans les caractères < >
  • on peut supprimer les caractères de l'entrée, ou rejeter toute requête s'ils sont présents
• Meilleur Idée: les autoriser, mais les échapper

  $text = "<p>   toi & moi   </p>";
  $text = <em> htmlspecialchars </em> ($text);
					
						# "&lt;p&gt;toi &amp; moi&lt;/p&gt;"
				

htmlentities est équivalent mais traduit tout les caractères qui ont un équivalent en leur code html (e.g. À devient À)

Qu'est-ce que la validation de formulaire?

• validation : garantir que les valeurs du formulaire sont correctes (c'est-à-dire conformes à ce qui est attendu)
• Quelques types de validation:
  • prévention des champs vides (adresse email)
  • verifier le type des valeurs
    • entier, nombre réel, monétaire , numéro de téléphone, numéro de sécurité sociale, adresse postale, adresse email, date, numéro de carte de crédit,...
  • verifier le format et la plage de valeurs (code postal doit être un entier de 5 chiffres)
  • prevenir les fautes de frappe (demander deux fois l'adresse mail et verifier que les 2 coincident)

Exemples réél utilisant la validation de formulaire

Validation coté Client vs. validation coté server

La validation peut être faite:

• coté client (avant la soumission du formulaire)
  • meilleure performance (moins d'échange réseau) et meilleur confort utilisateur, mais pas sûre (pourquoi ?)
• coté serveur (en PHP, après l'envoi du formulaire)
  • nécessaire pour une validation vraiment sécurisé, mais plus lent
• Des deux cotés
  • meilleure combinaison efficacité/confort/sécurité, (mais nécessite plus d'efforts de programmation)

Exemple de formulaire à valider

<form action="http://foo.com/foo.php" method="get">
	<div>
		nom:  <input name="nom" id="nom" /> <br />
		tel: <input name="tel" id="tel" size="10" maxlength="10" /> <br />
		code postal:   <input name="cp" id="cp" size="5" maxlength="5" /> <br />
		<input type="submit" />
	</div>
</form>
					

• Validons ce formulaire coté serveur

validation basique coté serveur

Rappel: $_REQUEST est un tableau associatif qui contient par défaut le contenu des variables: $_GET, $_POST et $_COOKIE.

$nom  = $_REQUEST["nom"];
$tel = $_REQUEST["tel"];
$cp   = $_REQUEST["cp"];
					if (!$nom || strlen($tel) != 10 || strlen($cp) != 5) {
						print "Erreur nom/tel/cp invalide.";
						}
				

• Idée de base: examiner la valeur des paramètres et en cas de problème afficher un message et terminer. Mais:
  • Comment testez qu'une donnée est un entier, un réels, une chaine?
  • Comment testez qu'un numéro de carte de crédit est valide? (voir code de Luhn)
  • Comment testez une adresse IP
  • (Comment testez qu'une chaîne donnée correspond à un format complexe particulier?)

Expressions régulières

/^[a-zA-Z_\-]+@(([a-zA-Z_\-])+\.)+[a-zA-Z]{2,4}$/
				

• une expression régulier ("regex"): décrit un "motif" (squelette) de texte
  • permet de tester si une chaîne correspond au motif de l'expression
  • peut utiliser une expression régulière pour rechercher ou remplacer des caractères dans une chaîne
• les expressions régulières sont extrêmement puissantes mais difficiles à lire
  (l'expression régulière ci-dessus correspond à une adresses email)
• les expressions régulières sont utilisé dans de nombreux contextes:
  • filtres en shell : grep, sed,awk ...
  • recherche / remplacement dans les éditeurs de texte
  • traitement des langues
  • ...

Expressions régulières en PHP (PDF)

• regex syntax: chaîne qui commence et finie par /, telle que : "/[AEIOU]+/"

Validation de formulaire avec des expressions régulières en PHP

$tel = $_REQUEST["tel"];
if (!preg_match("/^[O-9]{10}$/", $tel)) {
	print "Erreur. numéro invalide";
}
				

• preg_match aide a valider les paramètres
• Les sites ne veulent pas toujours donner de message d'erreur explicite ici (pourquoi ?)

Expressions régulières de base

/abc/
				

• en PHP, les expression régulières sont des chaînes qui commencent et finissent avec /
• les expressions régulière simples correspondent simplement une chaîne particulière
• l'expression régulière ci-dessus correspond à toute chaîne contenant"abc":
  • OUI: "abc", "abcdef", "defabc", ".=.abc.=.", ...
  • NON: "fedcba", "ab c", "PHP", ...

jokers: .

• Un point . reconnaît tout caractère sauf le saut de ligne \n
  • /.oo.y/ "match" "Doocy", "goofy", "LooNy", ...
• un caractère i à la fin de l'expression (après le / fermant ) signifie une correspondance insensible à la casse
  • /mart/i reconnaît "Martin Guerre", "smart fellow", "WALMART", ...

Caractères spéciaux: |, (), \

• |signifie OR
  • /abc|def|g/ "match" "abc", "def", ou "g"
  • Il n'y a pas de symbol AND pourquoi?
• les parenthèses () servent à gouper
  • /(Homer|Marge) Simpson/ reconnaît "Homer Simpson" ou "Marge Simpson"
• \ débute une séquence d'échappemente
  • beaucoup de caractères doivent être échappés pour correspondre à la lettre voulue: / \ $ . [ ] ( ) ^ * + ?
  • /<br \/>/ reconnaît les lignes contenant la balise<br />

Quantificateurs: *, +, ?

• * un nombre quelconque d'occurrence (0 ou plus)
  • /abc*/ "match" "ab", "abc", "abcc", "abccc", ...
  • /a(bc)*/ "match" "a", "abc", "abcbc", "abcbcbc", ...
  • /a.*a/ "match" "aa", "aba", "a8qa", "a!?xyz__9a", ...
• + au moins une occurrence
  • /a(bc)+/ "match" "abc", "abcbc", "abcbcbc", ...
  • /Goo+gle/ "match" "Google", "Gooogle", "Goooogle", ...
• ? 0 ou 1 occurrence
  • /a(bc)?/ "match" "a" ou "abc"

Autres quantificateurs: {min,max}

• {min,max} signifie entre min et max occurrences (inclusif)
  • /a(bc){2,4}/ "match" "abcbc", "abcbcbc", ou "abcbcbcbc"
• min ou max peuvent être omis pour specifier n'importe quel nombre
  • {2,} signifie 2 ou plus
  • {,6} signifie à partir 6
  • {3} signifie exactement 3

Prédicat de position: ^ et $

• ^ represente début d'une chaîne ou ligne;
  $ represente la fin
  • /olivier/ reconnaît toutes les chaînes qui contiennent Olivier;
    /^Olivier/ reconnaît toutes les chaînes qui commencent par Olivier;
    /Olivier$/ reconnaît toutes les chaînes qui finissent par Olivier;
    /^Olivier$/ reconnaît exactement la chaîne "Olivier"
  • /^O.*Pons$/ "match" "OlivierPons", "Olivier Pons", "Olivier Emmanuel Pons", ...
    mais PAS"Olivier Pons du Cnam" ni "Prof. Olivier Pons"
• (Dans les autres transparents, quand on dit, que /MOTIF/ reconnaît "texte", on veut dire qu'il reconnaît toute chaîne qui contient ce texte)

Ensembles de caractères: []

• [] groupe des caractères en une expression reguliere ensemble qui "match" n'importe quel caractère de l'ensemble
  • /[bcd]art/ "match" les chaînes contenant "bart", "cart", et "dart"
  • equivalent à /(b|c|d)art/ mais plus court !
• à l'intérieur de [], la plupart des "modificateurs" se comportent comme des caractères normaux
  • /quoi[!*?]*/ "match" "quoi", "quoi!", "quoi?**!", "quoi??!", ...
• Quelle expression régulière reconnaît une sequence d'ADN (chaîne de A, C, G, or T)?
  • /[ACGT]+/

Intervals : [début-fin]

• Dans un ensemble de caractères on exprime un interval avec -
  • /[a-z]/ "match" toute minuscule
  • /[a-zA-Z0-9]/ "match" toute lettre (minuscule ou majuscule) ou chiffre
• un ^ au début d'un ensemble de caractère exprime le complementaire de l'ensemble
  • /[^abcd]/ "match" tout caractère autre qu' a, b, c, ou d
• pour exprimer -à l'interieur d'un ensemble de caractère, il doit être échappé.
  • /[+\-]?[0-9]+/"match" un + ou un - optionnel , suivi par au moins un chiffre
• Quelle expression reconnaît les notes A, B+, or D- .. utilisés en primaire ?
  • /[ABCDE][+\-]?/

sequences d'échappement

• sequence d'échappement particulières:
  • \d reconnaît tout chiffre (équivalent à [0-9]); \D tout ce qui n'est pas un chiffre(( équivalent à [^0-9])
  • \w reconnaît tout caractère alphanumérique (équivalent à [a-zA-Z_0-9]); \W tout caractère non alphanumérique
  • \s reconnaît tout espace (au sens large) ( , \t, \n, etc.); \S tout ce qui n'es pas un espace (au sens large)
• Quelle expression reconnaît un montant d'au moins $100.00 ?
  • /\$\d{3,}\.\d{2}/

Exemple d' expression régulière en PHP

					# remplacer les voyelles par des asterix
$str = "the quick    brown        fox";

$str = preg_replace("/[aeiou]/", "*", $str);
					# "th* q**ck    br*wn        f*x"

					# decouper en mot
$words = preg_split("/[ ]+/", $str);
					# ("th*", "q**ck", "br*wn", "f*x")

					# mettre en majuscule les mots qui ont 2 voyelles
						de consecutives
for ($i = 0; $i < count($words); $i++) {
	if (preg_match("/\\*{2,}/", $words[$i])) {
		$words[$i] = strtoupper($words[$i]);
	}
}                        # ("th*", "Q**CK", "br*wn", "f*x")
				

• remarque: \ doit être echapper en \\

Expressions réguliere en JavaScript

• string.match(regex)
  • si la chaîne correspond au motif, renvoie le texte correspondant; sinon renvoie null
  • peut être utiliser dans un test booléen
    var name = $("name").value;
if (name.match(/[a-z]+/)) { ... }
• un ipeut être placé après l'expression rationnelle pour une correspondance non sensible à la casse
  • name.match(/Olivier/i) reconnaîtra "olivier", "OliVieR", ...

Remplacement de texte en utilisant des expressions régulières

• string.replace(regex, "text")
  • remplace la première occurrence du motif donné dans le text donné
  • var str = "Papa Poule";
str.replace(/[a-z]/, "x") returns "Pxpa Poule"
  • renvoie la chaîne modifiée comme résultat
    str = str.replace(/[a-z]/, "x")
• un g peut être placé après l'expression rationnelle pour une correspondance globale (remplace toutesles occurrences)
  • str.replace(/[a-z]/g, "x") returns "Pxxx Pxxxx"
• remplacer par une chaîne vide pour utiliser une expression régulière comme un filtre
  • str = str.replace(/[^A-Z]+/g, "") change str en "PP"

injection SQL

une faille où l'utilisateur est en mesure d'injecter des données SQL arbitraire dans votre requête

• Cette faille existe souvent quand une page récupère les entrées de l'utilisateur et les insèrent telles quelles dans la requête.
• example: simpsons grade lookup
• Quels types de SQL que nous pouvons injecter dans la requête? Pourquoi est-ce mauvais?

Une attaque par injection SQL

• La requête dans le code PHP est:

  $query = "SELECT * FROM students
  WHERE username = '$username' AND password = '$password'";
  						

• Y at-il des valeurs malveillantes a entrer en tant que nom d'utilisateur ou de mot de passe ?
• Password:
• Cela mène à l'execution de la requête suivante:

  $query = "SELECT * FROM students
  WHERE username = '$username' AND password = '' OR '1'='1'";
  						

  • Quel sera le retour de la requête ci-dessus? Pourquoi est-ce mauvais?

Attention...

• du SQL injecté peut:
  • modifier la requête pour renvoyer des données appartenant à d'autres (révélant des informations privées)
  • insérer une requête pour modifier des données existantes (augmentation solde d'un compte bancaire...)
  • supprimer les données existantes (; DROP TABLE students; -- )
  • "Compliquer" la requête pour ralentir le serveur (JOIN a JOIN b JOIN c ...)
  • ...

Se protéger des injections SQL

• semblable à la sécurisation contre l'injection HTML, échapper la chaîne avant de l'inclure dans la requête

	  $username = $db->quote($_POST["username"]);
	  $password = $db->quote($_POST["password"]);
	  $query = "SELECT name, ssn, dob FROM users
	  WHERE username = $username AND password = $password";
				

• remplace 'par \', etc., et entoure de guillemet

Attaque de "l'homme du milieu" (Man-in-the-middle: MIM)

quand un "attaquant" écoute votre réseau et lit ou modifie les données

• fonctionne si l'attaquant peut accéder et compromettre un serveur ou un routeur entre vous et le serveur réel.
• fonctionne aussi si vous êtes sur le même réseau local que l'attaquant
• souvent, l'attaquant transfere quand même les informations entre vous et le serveur réel, mais il les enregistre ou modifie certaines d'entre elles au passage.
• e.g. il attend que vous envoyiez un couple login/password /, les informations de votre carte de crédit...

Secure HTTP (HTTPS)

• HTTPS: version chiffrée du protocole HTTP
• Tous les messages entre le client et le serveur sont cryptés ( pour que les MIM ne puissent pas les lire facilement
• Les serveur peuvent avoir des certificats qui verifient leur identité

Session hijacking

Lorsque l'attaquant capture votre ID de session et se fait passer pour vous

• Exploiter les sites qui utilisent HTTPS uniquement pour la connexion initiale/
  • HTTPS: browser → server (POST login.php)
  • HTTPS: browser ← server (login.php + PHPSESSID cookie)
  • HTTP: browser → server (GET whatever.php + PHPSESSID cookie)
  • HTTP: browser ← server (whatever.php + PHPSESSID cookie)
• L'attaquant peut écouter le réseau, obtenir votre cookie contenant ID de session et faire des requêtes au même serveur avec ce même cookie pour se faire passer pour vous!
• example: Firesheep

Securité des sites web

• Ne jamais faire confiance à des données venant de l'utilisateur.
• Les données qu'ils faut filtrer et "échapper" viennent de plusieurs sources:
  • URL query strings,
  • données de formulaire,
  • $_COOKIES,
  • $_SESSION,
  • $_SERVER
  • requête Ajax
  • ...