Examiner le contenu des pages Web pour détecter les fuites d'informations

Comment examiner les commentaires HTML, les métadonnées, le code JavaScript et les fichiers de débogage (comme les fichiers source map) pour identifier les fuites d'informations potentielles sur une application web.

ID
WSTG-INFO-05

Résumé

Il est très courant, et même recommandé, que les programmeurs incluent des commentaires détaillés et des métadonnées dans leur code source. Cependant, les commentaires et les métadonnées inclus dans le code HTML peuvent révéler des informations internes qui ne devraient pas être accessibles aux attaquants potentiels. L'examen des commentaires et des métadonnées doit être effectué afin de déterminer si des informations sont divulguées. De plus, certaines applications peuvent divulguer des informations dans le corps des réponses de redirection.

Pour les applications web modernes, l'utilisation de JavaScript côté client pour le frontend devient de plus en plus populaire. Les technologies populaires de construction de frontend utilisent du JavaScript côté client comme ReactJS, AngularJS ou Vue. Similaire aux commentaires et métadonnées dans le code HTML, de nombreux programmeurs codent également en dur des informations sensibles dans des variables JavaScript sur le frontend. Les informations sensibles peuvent inclure (mais ne sont pas limitées à) : des clés API privées (*par exemple* une clé API Google Map non restreinte), des adresses IP internes, des routes sensibles (*par exemple* une route vers des pages ou des fonctionnalités d'administration cachées), ou même des informations d'identification. Ces informations sensibles peuvent être divulguées à partir d'un tel code JavaScript frontend. Un examen doit être effectué afin de déterminer si des informations sensibles sont divulguées qui pourraient être utilisées par des attaquants à des fins abusives.

Pour les applications web volumineuses, les problèmes de performances sont une grande préoccupation pour les programmeurs. Les programmeurs ont utilisé différentes méthodes pour optimiser les performances du frontend, notamment Syntactically Awesome Style Sheets (Sass), Sassy CSS (SCSS), webpack, etc. En utilisant ces technologies, le code frontend deviendra parfois plus difficile à comprendre et à déboguer, et à cause de cela, les programmeurs déploient souvent des fichiers source map à des fins de débogage. Une "source map" est un fichier spécial qui relie une version minifiée/uglifiée d'un actif (CSS ou JavaScript) à la version originale créée. Les programmeurs débattent encore de la question de savoir s'il faut apporter des fichiers source map dans l'environnement de production. Cependant, il est indéniable que les fichiers source map ou les fichiers de débogage, s'ils sont publiés dans l'environnement de production, rendront leur source plus lisible par l'homme. Cela peut faciliter la tâche des attaquants pour trouver des vulnérabilités depuis le frontend ou collecter des informations sensibles à partir de celui-ci. La revue du code JavaScript doit être effectuée afin de déterminer si des fichiers de débogage sont exposés depuis le frontend. Selon le contexte et la sensibilité du projet, un expert en sécurité doit décider si les fichiers doivent exister dans l'environnement de production ou non.

Objectifs du test

Examiner les commentaires, les métadonnées et le corps des redirections des pages web pour détecter toute fuite d'informations.
Rassembler les fichiers JavaScript et examiner le code JS pour mieux comprendre l'application et trouver toute fuite d'informations.
Identifier si des fichiers source map ou d'autres fichiers de débogage frontend existent.

Comment tester

Examiner les commentaires et les métadonnées des pages Web

Les commentaires HTML sont souvent utilisés par les développeurs pour inclure des informations de débogage sur l'application. Parfois, ils oublient les commentaires et les laissent dans les environnements de production. Les testeurs doivent rechercher les commentaires HTML qui commencent par <!--.

Vérifiez le code source HTML pour les commentaires contenant des informations sensibles qui peuvent aider l'attaquant à mieux comprendre l'application. Il peut s'agir de code SQL, de noms d'utilisateur et de mots de passe, d'adresses IP internes ou d'informations de débogage.

...
<div class="table2">
  <div class="col1">1</div><div class="col2">Mary</div>
  <div class="col1">2</div><div class="col2">Peter</div>
  <div class="col1">3</div><div class="col2">Joe</div>

<!-- Query: SELECT id, name FROM app.users WHERE active='1' -->

</div>
...

Le testeur peut même trouver quelque chose comme ceci :

<!-- Use the DB administrator password for testing: f@keP@a$$w0rD -->

Vérifiez les informations de version HTML pour les numéros de version valides et les URL de définition de type de document (DTD)

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "https://www.w3.org/TR/html4/strict.dtd">

strict.dtd -- DTD strict par défaut
loose.dtd -- DTD souple
frameset.dtd -- DTD pour les documents frameset

Certaines balises META ne fournissent pas de vecteurs d'attaque actifs mais permettent plutôt à un attaquant de profiler une application :

<META name="Author" content="Andrew Muller">

Une balise META courante (mais non conforme à WCAG) est Refresh.

<META http-equiv="Refresh" content="15;URL=https://www.owasp.org/index.html">

Une utilisation courante de la balise META consiste à spécifier des mots-clés qu'un moteur de recherche peut utiliser pour améliorer la qualité des résultats de recherche.

<META name="keywords" lang="en-us" content="OWASP, security, sunshine, lollipops">

Bien que la plupart des serveurs web gèrent l'indexation des moteurs de recherche via le fichier robots.txt, elle peut également être gérée par des balises META. La balise ci-dessous conseillera aux robots de ne pas indexer et de ne pas suivre les liens sur la page HTML contenant la balise.

<META name="robots" content="none">

La Plateforme pour la sélection du contenu Internet (PICS) et le Protocole pour les ressources de description web (POWDER) fournissent une infrastructure pour associer des métadonnées au contenu Internet.

Identifier le code JavaScript et rassembler les fichiers JavaScript

Les programmeurs codent souvent en dur des informations sensibles avec des variables JavaScript sur le frontend. Les testeurs doivent vérifier le code source HTML et rechercher le code JavaScript entre les balises <script> et </script>. Les testeurs doivent également identifier les fichiers JavaScript externes pour examiner le code (les fichiers JavaScript ont l'extension de fichier .js et le nom du fichier JavaScript est généralement placé dans l'attribut src (source) d'une balise <script>).

Vérifiez le code JavaScript pour toute fuite d'informations sensibles qui pourrait être utilisée par des attaquants pour abuser ou manipuler davantage le système. Recherchez des valeurs telles que : des clés API, des adresses IP internes, des routes sensibles ou des informations d'identification. Par exemple :

const myS3Credentials = {
  accessKeyId: config('AWSS3AccessKeyID'),
  secretAccessKey: config('AWSS3SecretAccessKey'),
};

Le testeur peut même trouver quelque chose comme ceci :

var conString = "tcp://postgres:1234@localhost/postgres";

Lorsqu'une clé API est trouvée, les testeurs peuvent vérifier si les restrictions de clé API sont définies par service ou par IP, référent HTTP, application, SDK, etc.

Par exemple, si les testeurs trouvent une clé API Google Map, ils peuvent vérifier si cette clé API est limitée par IP ou uniquement par les API Google Map. Si la clé API Google est limitée uniquement par les API Google Map, les attaquants peuvent toujours utiliser cette clé API pour interroger les API Google Map non restreintes et le propriétaire de l'application doit payer pour cela.

<script type="application/json">
...
{"GOOGLE_MAP_API_KEY":"AIzaSyDUEBnKgwiqMNpDplT6ozE4Z0XxuAbqDi4", "RECAPTCHA_KEY":"6LcPscEUiAAAAHOwwM3fGvIx9rsPYUq62uRhGjJ0"}
...
</script>

Dans certains cas, les testeurs peuvent trouver des routes sensibles à partir du code JavaScript, telles que des liens vers des pages d'administration internes ou cachées.

<script type="application/json">
...
"runtimeConfig":{"BASE_URL_VOUCHER_API":"https://staging-voucher.victim.net/api", "BASE_BACKOFFICE_API":"https://10.10.10.2/api", "ADMIN_PAGE":"/hidden_administrator"}
...
</script>

Identifier les fichiers Source Map

Les fichiers source map seront généralement chargés lorsque DevTools s'ouvre. Les testeurs peuvent également trouver des fichiers source map en ajoutant l'extension ".map" après l'extension de chaque fichier JavaScript externe. Par exemple, si un testeur voit un fichier /static/js/main.chunk.js, il peut alors vérifier son fichier source map en visitant /static/js/main.chunk.js.map.

Vérifiez les fichiers source map pour toute information sensible qui peut aider l'attaquant à mieux comprendre l'application. Par exemple :

{
  "version": 3,
  "file": "static/js/main.chunk.js",
  "sources": [
    "/home/sysadmin/cashsystem/src/actions/index.js",
    "/home/sysadmin/cashsystem/src/actions/reportAction.js",
    "/home/sysadmin/cashsystem/src/actions/cashoutAction.js",
    "/home/sysadmin/cashsystem/src/actions/userAction.js",
    "..."
  ],
  "..."
}

Lorsque les sites chargent des fichiers source map, le code source du frontend deviendra lisible et plus facile à déboguer.

Identifier les réponses de redirection qui divulguent des informations

Bien que les réponses de redirection ne soient généralement pas censées contenir de contenu web significatif, il n'y a aucune assurance qu'elles ne peuvent pas contenir de contenu. Ainsi, alors que les réponses de la série 300 (redirection) contiennent souvent un contenu de type "redirection vers https://example.com/", elles peuvent également divulguer du contenu.

Considérez une situation dans laquelle une réponse de redirection est le résultat d'une vérification d'authentification ou d'autorisation, si cette vérification échoue, le serveur peut répondre en redirigeant l'utilisateur vers une page "sûre" ou "par défaut", mais la réponse de redirection elle-même peut toujours contenir du contenu qui n'est pas affiché dans le navigateur mais qui est effectivement transmis au client. Cela peut être vu soit en utilisant les outils de développement du navigateur, soit via un proxy personnel (tel que ZAP, Burp, Fiddler ou Charles).

Outils

Wget
Fonction "Afficher la source" du navigateur
Eyeballs
Curl
Zed Attack Proxy (ZAP)
Burp Suite
Waybackurls
Scanner d'API Google Maps

Références

KeyHacks
RingZer0 Online CTF - Challenge 104 "Panneau d'administration".

Livres blancs

◄ Précédent Suivant ►

く

Table des matières

Avant-propos par Eoin Keary
Frontispice
Introduction
Le cadre de test OWASP
Test de sécurité des applications Web
1. Introduction et objectifs
2. Collecte d'informations
3. Test de gestion de la configuration et du déploiement
  1. Tester la configuration de l'infrastructure réseau
  2. Tester la configuration de la plateforme applicative
  3. Tester la gestion des extensions de fichiers pour les informations sensibles
  4. Examiner les anciens fichiers de sauvegarde et les fichiers non référencés pour les informations sensibles
  5. Enumérer les interfaces d'administration de l'infrastructure et de l'application
  6. Tester les méthodes HTTP
  7. Tester HTTP Strict Transport Security
  8. Tester la politique de domaine croisé RIA
  9. Tester les permissions de fichiers
  10. Tester la prise de contrôle de sous-domaine
  11. Tester le stockage Cloud
4. Test de gestion des identités
  1. Tester les définitions de rôle
  2. Tester le processus d'enregistrement des utilisateurs
  3. Tester le processus de provisionnement des comptes
  4. Test de l'énumération des comptes et des comptes utilisateurs devinables
  5. Test de la politique de nom d'utilisateur faible ou non appliquée
5. Test d'authentification
  1. Test du transport des informations d'identification sur un canal chiffré
  2. Test des informations d'identification par défaut
  3. Test du mécanisme de verrouillage faible
  4. Test de contournement du schéma d'authentification
  5. Test de la vulnérabilité du mot de passe mémorisé
  6. Test des faiblesses du cache du navigateur
  7. Test de la politique de mot de passe faible
  8. Test de la question/réponse de sécurité faible
  9. Test des fonctionnalités de modification ou de réinitialisation de mot de passe faibles
  10. Test de l'authentification plus faible dans un canal alternatif
6. Test d'autorisation
  1. Test de traversée de répertoire/inclusion de fichier
  2. Test de contournement du schéma d'autorisation
  3. Test d'escalade de privilèges
  4. Test des références d'objets directs non sécurisées
7. Test de la gestion de session
  1. Test du schéma de gestion de session
  2. Test des attributs de cookies
  3. Test de la fixation de session
  4. Test des variables de session exposées
  5. Test de la falsification de requête intersite (CSRF)
  6. Test de la fonctionnalité de déconnexion
  7. Test du délai d'expiration de la session
  8. Test de la confusion de session
  9. Test du détournement de session
8. Test de validation des entrées
  1. Test du Cross Site Scripting Réfléchi
  2. Test du Cross Site Scripting Stocké
  3. Test de l'altération du verbe HTTP
  4. Test de la pollution des paramètres HTTP
  5. Test de l'injection SQL
  6. Test pour Oracle
  7. Test pour MySQL
  8. Test pour SQL Server
  9. Test PostgreSQL
  10. Test pour MS Access
  11. Test pour NoSQL Injection
  12. Test pour ORM Injection
  13. Test côté client
  14. Test de l'injection LDAP
  15. Test de l'injection XML
  16. Test de l'injection SSI
  17. Test de l'injection XPath
  18. Test de l'injection IMAP/SMTP
  19. Test de l'injection de code
  20. Test de l'inclusion de fichier local
  21. Test de l'inclusion de fichier distant
  22. Test de l'injection de commande
  23. Test de l'injection de chaîne de format
  24. Test des vulnérabilités incubées
  25. Test du fractionnement/contrebande HTTP
  26. Test des requêtes HTTP entrantes
  27. Test de l'injection d'en-tête d'hôte
  28. Test de l'injection de modèle côté serveur
  29. Test de la falsification de requête côté serveur (SSRF)
9. Test de la gestion des erreurs
  1. Test de la gestion incorrecte des erreurs
  2. Test des traces de pile
10. Test de la cryptographie faible
  1. Test de la sécurité faible de la couche de transport
  2. Test de l'oracle de padding
  3. Test des informations sensibles envoyées via des canaux non chiffrés
  4. Test du chiffrement faible
11. Test de la logique métier
  1. Introduction à la logique métier
  2. Tester la validation des données de la logique métier
  3. Tester la capacité à falsifier des requêtes
  4. Tester les contrôles d'intégrité
  5. Test de la synchronisation des processus
  6. Tester le nombre de fois qu'une fonction peut être utilisée
  7. Test du contournement des flux de travail
  8. Tester les défenses contre l'utilisation abusive des applications
  9. Tester le téléchargement de types de fichiers inattendus
  10. Tester le téléchargement de fichiers malveillants
12. Test côté client
  1. Test du Cross-Site Scripting basé sur le DOM
  2. Test de l'exécution JavaScript
  3. Test de l'injection HTML
  4. Test de la redirection d'URL côté client
  5. Test de l'injection CSS
  6. Test de la manipulation des ressources côté client
  7. Test du partage de ressources inter-origines (CORS)
  8. Test du Cross-Site Flashing
  9. Test du Clickjacking
  10. Test des WebSockets
  11. Test de la messagerie Web
  12. Test du stockage du navigateur
  13. Test de l'inclusion de script inter-sites
13. Test de l'API
  1. Test de GraphQL
Reporting
Annexe
1. A. Ressources d'outils de test
2. B. Lectures suggérées
3. C. Vecteurs de fuzzing
4. D. Injection encodée
5. E. Historique
6. F. Utilisation des outils de développement