Vigil@nce - Firefox, IE, Opera : modification de Cookies HTTPS
août 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man in the Middle, afin
d’altérer un cookie, même s’il a été défini dans une session HTTPS
avec l’attribut "secure".
Gravité : 2/4
Date création : 12/08/2011
PRODUITS CONCERNÉS
– Microsoft Internet Explorer
– Mozilla Firefox
– Mozilla SeaMonkey
– Opera
DESCRIPTION DE LA VULNÉRABILITÉ
Le protocole HTTP définit des cookies (RFC 2109) :
- le serveur retourne un cookie au client
- le client envoie ce cookie à chaque nouvelle connexion sur le
serveur
Par exemple :
- le client se connecte sur https://serveur/page1 et obtient un
cookie
- le client se connecte sur https://serveur/page2 et envoie ce
cookie
- le client se connecte sur http://serveur/page3 et envoie ce
cookie
Le cookie a été obtenu dans la session sécurisée ("https://" =
HTTP sur SSL) de la page1, et est envoyé pour la page 3 en
"http://", c’est-à-dire qu’il circule en clair sur le réseau. Pour
empêcher cela, l’attribut "secure" d’un cookie indique qu’il peut
uniquement être envoyé vers le serveur au sein d’une session SSL.
Cependant, l’attribut "secure" n’interdit pas le cookie à être
défini ou écrasé par une session en clair. Un attaquant peut donc :
– attendre que la victime obtienne un cookie ("secure" ou non)
depuis https://serveur/
– intercepter une autre session HTTP vers n’importe quel site, et
répondre un HTTP redirect vers http://serveur/
– intercepter la requête vers http://serveur/, et répondre avec
une autre valeur pour le cookie
Le navigateur web accepte alors de modifier le cookie précédemment
obtenu dans la session SSL.
Un attaquant peut donc se positionner en Man in the Middle, afin
d’altérer un cookie, même s’il a été défini dans une session HTTPS
avec l’attribut "secure".
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Firefox-IE-Opera-modification-de-Cookies-HTTPS-10921