Présentation: 4 contre-mesures pour renforcer la sécurité de son application web coté client

html5-securityAujourd’hui avec tous les types d’attaques visant le coté client, la sécurité des applications web devient un sujet très sérieux à partir du moment où les interactions client/serveur transitent des données sensibles ayant trait à la vie privée des utilisateurs.

Les éditeurs de logiciels, et plus particulièrement des navigateurs, ont constamment contribué pour mettre en place des standards visant à renforcer la sécurité du coté client.

Dans cette présentation, on verra 4 contre-mesures pratiques permettant de sécuriser vos applications web contre les attaques les plus répondues.

C’était le sujet de ma présentation lors de la journée de la sécurité informatique organisée à l’université internationale d’Agadir Univerpolis par les étudiants de l’école polytechnique sous le thème : « enjeux et défis universels ». la conférence s’est déroulé le Samedi 18 Mai 2013

Je partage donc avec vous ma présentation, tout en vous réservant une série d’articles traitant chaque contre-mesure de façon détaillée, ci-dessous les grandes lignes de ma présentation:

  • Sécuriser la communication client-serveur
  • Limiter les attaques par injection de script
  • Insérer du contenu de manière sécurisée
  • Bien définir les interactions cross-domain

Bonne lecture et restez branchés pour la suite!

CSP un nouveau système de protéction contre les XSS implementé par Firefox

MozillaContent Security Policy, baptisé CSP, est une nouvelle technologie créée par la fondation Mozilla dans le but de se protéger contre les attaques XSS!
Dans les trois dernière années, l’exploitation des attaques XSS et CSRF Injection a connu une très forte croissance, on a vu pas mal d’incidents et des hackages de sites populaires et de grands comptes comme facebook , ImageShack, DomainTools, Godady…, les ingénieurs de mozilla security team ont pensé à une solution et nous ont inventé CSP!

CSP, c’est quoi au juste?

En principe, les attaques XSS sont possibles car toutes les données chargées depuis un serveur http sont interprétées par le navigateur avec les droits que le client possède, le code JavaScript et tout le contenu chargé (y compris les scripts externes) sont combinés dans un même conteste de sécurité (Policy) et permettent l’accès à la totalité du DOM. Content Security Policy nous apporte un mécanisme pour indiquer explicitement au navigateur quel contenu est légitime, de cette façon le navigateur pourra interrompre l’exécution et restreindre l’accès au DOM de tout contenu non autorisé et sans perdre des fonctionnalités dans le site!

CSP est destiné aux web designers et administrateurs système afin de designer la façon avec laquelle les données doivent interagir avec leurs sites, son implémentation permettra la détection des attaques de type XSS et injection de code HTML et minimiser les risques d’une potentielle exploitation d’un de ces deux vecteurs d’attaque

Comment ça marche ?

Le principe de CSP est d’appliquer un ensemble de restrictions sur l’exécution des scripts et les autoriser seulement à partir d’une liste blanche créée par le webmaster, ainsi toute exécution de script ou de code chargé depuis un site non figurant dans cette liste sera bloquée. On pourra par exemple autoriser seulement les scripts provenant de Google API, et Youtube et restreindre l’accès à tout autre domaine externe!

Voici une liste de quelques actions bloquées par CSP:

  • les balise <script>
  • les URI javascript:fonction()
  • les évènements placés dans les attribut (<a onclick= »return foo() »>)
  • les fonctions avec le constructeur var f = new Function(« code malveillant… »)
  • data URI genre : data:text/plain;base64,ZXZpbGNvZGU=

Une liste complète de restrictions est disponible sur le wiki officiel de mozilla

Comment activer CSP sur son site?

Pour activer cette protection sur votre site, il vous suffit d’ajouter X-Content-Security-Policy dans l’entête HTTP de vos pages, voici un exemple simple pour autoriser l’exécution des scripts seulement depuis le même domaine :

X-Content-Security-Policy: allow 'self'

Un exemple pour autoriser le chargement des images depuis tous les domaines et les scripts seulement depuis api.google.com:

X-Content-Security-Policy: allow 'self'; img-src *; \
script-src api.google.com

Notifications

L’avantage de CSP c’est qu’il possède un mécanisme de notification permettant de notifier le webmaster lors de la violation d’une règle, la notification est sous forme d’un rapport que le navigateur envoie via une requête HTTP POST formatée en XML, et contient les entêtes HTTP de la requête effectuée par le client, l’url bloqué, la directive violée et le site de provenance! de cette façon administrateur du site pourra détecter les défaillances et d’éventuels problèmes de sécurité qui peuvent menacer son site!

Voici le schéma d’une requête de notification :

<?xml version="1.0" encoding="ISO-8859-1" ?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="csp-report">
<xs:complexType>
<xs:sequence>
<xs:element name="request" type="string" use="required" />
<xs:element name="request-headers" type="string" />
<xs:element name="blocked-uri" type="string" />
<xs:element name="violated-directive" type="string" use="required" />
<xs:element name="original-policy" type="string" use="required" />
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>

Exemple de rapport lors de l’appellation d’un script depuis un domaine non autorisé (attacker.ltd)

<csp-report>
<request>GET /page.php HTTP/1.1</request>
<request-headers><![CDATA[
Host: domain.ltd
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9) Gecko/2008061015 Firefox/3.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr-fr,fr;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
]]></request-headers>
<blocked-uri>http://attacker.ltd/evilscript.js</blocked-uri>
<violated-directive>script-src self</violated-directive>
<original-policy>allow none; script-src *, allow self; script-src self</original-policy>
</csp-report>

On peut placer l’entête dans une balise méta dans le <head>:

<meta http-equiv="X-Content-Security-Policy" content="listedesrestrictions" />

en PHP

Header("X-Content-Security-Policy: listedesrestrictions");

CSP est une très bonne initiative pour luter contre les attaques XSS, il est nativement implémenté dans le navigateur Firefox à partir de la version 3, c’est principalement conçu pour nous assurer une meilleure sécurité, tout de même il ne faut pas penser que c’est la fin des XSS! il y aura sans doute des méthodes pour le contourner, sinon je trouve que c’est bien pensé de la part des équipes Mozilla, c’est du beau boulot!

Viva Firefox ;)