Sécurité : Plus d'info sur le HTML

[Kriegy]

Ce topic n'a pas pour but d'inciter aux méthodes de hacking mais de prévenir les webmasters qui activent leur option "Autoriser l'HTML".

================

Bonjour à tous, et à toutes.

Je vais passer ma présentation pour en venir sur les "menaces" qui peuvent sévir à travers l'HTML, quand à la redirection/Défaçage de certaines pages forum.

Actuellement, si je ne m'abuse, les forums de type forumactif ont leur option "autoriser le html" qui n'est pas activée, de base.
Après activation, il est vrai que beaucoup d'administrateur de forum peuvent mettre plus de dynamisme dans leurs messages mais aussi les membres.
Parmi cela, on peut compter bien des avantages qu'offre l'html sur le BBcode, sur l'affichage d'information, sur l'apparition du javascript que l'ont peu inclure.

Admettons qu'un membre, que nous appellerons "Boulet numéro 1" ne respecte pas les conditions de votre forum. Vous commencez à discuter avec lui, il s'énerve et fini par partir, sans laisser d'autre dégât qu'un peu de flood. Cela ne vous fera perdre qu'un peu de temps.

Admettons à présent que votre forum utilise le HTML, et qu'un autre membre "Boulet Lamer numéro 2" soit mécontent contre votre forum. Celui-ci connait (d'on ne sait où ?) quelques obfuscation JS mais aussi des redirections HTML. Je vais donner deux exemples de codes malveillant que peu glisser l'utilisateur :

Code 1 :

Code:

Code supprimé sur demande d'un membre

Code 3 :

Code:

Code supprimé sur demande d'un membre


Code 3 :

Code:

Code supprimé sur demande d'un membre

Je vais commencer par le plus facile : Le code 1.
Ce code est une simple redirection vers un autre site. Admettons que l'utilisateur envoie ce code sur tous vos posts, en laissant comme temps avant la redirection 0 secondes, cela voudra dire que, dès que la page s'affichera, elle se redirigera. (il est difficile de retirer ce genre de post... Sauf si vous avez du 56 k niveaau vitesse et que vous appuyez sur Echap dès que le message commence à apparaitre pour ensuite supprimer le post).

Ensuite, le code 2. C'est très gavant, je vous donne un exemple ici.
Pour celui-là, il vous faut désactiver Javascript de votre navigateur puis détruire le message.

Code 3 :

Il s'agit d'un cryptage (censurer en parti pour éviter de donner de trop mauvaises idées)
De Javascript pour dissimuler du VBscript.
Le VBscript est bien plus dangereux. Je vous donne un petit exemple ici.

Donc, certains diront que je suis pessimiste, d'autre que cela ne servirait à rien mais je vais tout de même le proposer : L'ajout d'un avertissement pour l'Administrateur lorsqu'il valide l'HTML.
Cela ne supprimera pas le problème de sécurité mais, l'admin saura alors ce qu'il risquera.

On peut même aller, via ce petit message, jusqu'à une page de forumactif avec une base de donnée pour la suppression des codes malicieux.

[Empire-secret]

L'intention d'informer est louable mais il ne faudrait pas que ces "trucs" tombent aux mains de quelques malveillants.

Corrige-moi si je ne m'abuse : ces scripts malveillants ne sont-ils pas brimés pas la sécurité de certaines protections ?
En vrac : avoir un bon antivirus, un vrai bon navigateur (je cite pas de noms mais suivez mon regard ), à la rigueur un firewall configuré, bref le B.A.BA en soit

Dans le cas contraire, à part informer, que peut-"on" y faire ?

Ça reste cependant très intéressant, merci de tes précisions

[Kriegy]

Et bien malheureusement, toutes ne sont pas repérées par les antivirus et certaines qui peuvent paraitre innocente (regardez plus haut ^^") sont finalement des pièges assez complexes.

Comme dans toute la lutte anti hacking, il y a un moment où nos cher AV et navigateurs ne peuvent rien faire.

A ce moment-ci, il faut passer sur le stade de la prévention et, lorsque la plateforme est infectée, il faut savoir penser ses plaies.

Je pense donc que la mise en place d'une base de connaissance sur la résolution de ce type de problème mais aussi en avertissant l'Administrateur quand il active l'Html permettrait de limiter les risques.

[Gimove]

Je suis totalement pour la mise en place de ce système, d'autant que ça a m'être utile car ces temps-ci je potasse le HTML...

[Kriegy]

Je pense que pour chaque avis, une justification ne serait pas des plus mals. Je vois en haut un non, sans avoir le motif, sans pouvoir expliquer au juste. Merci de laisser des commentaires en cas de désaccords, que l'on puisse savoir

[ProgVal]

Il me semble que la redirection, et l'ouverture de popups sont bloquées par ForumActif.

reste le troisième code...

[Kriegy]

J'ai effectué ces tests il n'y a pas plus de quelques semaines ^^

Après, pour le javascript, il y a des façon de s'en servir. J'ai posté ici des codes de démonstration simples. Il s'agit de fonction tout à fait anodines qui se terminent finalement par des soucis plus ou moins grand.

On ne pourra pas supprimer pas par pas ce genre de soucis, reste à avertir les utilisateurs lors de l'utilisation de ces codes.

[Kriegy]

up !

[ProgVal]

Il y a peut-être moyen de ne bloquer que le javascript.

[Kriegy]

Tant qu'à bloquer Javascript, autant bloquer tout le HTML.

Je ne pense pas que supprimer soit la solution, il faut avant tout avertir et établir une base de connaissance. Rien qu'aujourd'hui, j'ai vu sur le forum 2 administrateurs ayant un soucis de redirections.

[Alexarbitre]

Tant qu'à bloquer Javascript, autant bloquer tout le HTML.

Je ne pense pas que supprimer soit la solution, il faut avant tout avertir et établir une base de connaissance. Rien qu'aujourd'hui, j'ai vu sur le forum 2 administrateurs ayant un soucis de redirections.

En même temps si tu donnes dans ton premier post des idées aux boulets, autant faire un tutoriel sur le trollage de forum.

[samarium]

Bonjour,

Superbe suggestion ... non je plaisante <_<
1- Le HTML n'a rien de dangereux (plutot le Javascript)
2- Les balises JavaScript ne marche pas sur les messages des forums

[ProgVal]

Rien qu'aujourd'hui, j'ai vu sur le forum 2 administrateurs ayant un soucis de redirections.

Idem pour moi (c'est les mêmes, aussi...) Et il y en a un troisième qui vient de se rajouter à la liste.

[Kriegy]

En réponse à Samarium :
Tout d'abord, je vais te proposer de te prêter à une expérience. Tu vas sur ton forum puis y valide l'HTML. Après quoi tu crée un nouveau message que tu va prévisualiser.
Injectes y ce code :

Code:

Code supprimé sur demande d'un utilisateur.

Après, je te laisse visualiser ces quelques post, publier aujourd'hui même :

Celui-ci de Lannigh
Celui-ci de PRD
Celui-ci de Jakel

Et je ne m'arrêtes qu'aux posts d'aujourd'hui. Penses à ceux qui ne se sont psa manifestés, compte ça sur une semaine, un mois... Penses-tu vraiment que cela ne pourrait servir en rien ?

====================

En réponse à Alexarbitre :

Il y a toujours eut des menaces dans l'univers du web. Aujourd'hui, avec un simple moteur de recherche comme Google, n'importe quel lamer peut s'attaquer à un forum, pour peu qu'il utilise une faille anodine. Je te prends pour exemple la faille include.
Cette faille était simple à dépister et la DGSE en a fait les frais. C'est en alerrtant les utilisateurs, les codeurs que les soucis se résorbent, pas en gardant le savoir pour soi-même.

Cela ne reflète que mon avis. Si j'ai pu faire cela c'est afin d'insister sur les risque et pour convaincre les individus tels que Samarium du adnger qui était présent, et en lequel ils ne veulent pas croire.

[samarium]

Ok, désolé, j'avais mal lu votre premier message. Le problème intervient dans le site de la redirection ou mis dans une balise Iframe (je pensais que c'était l'insertion de Javascript dans un message).

Pour revenir au sujet, il vrai que c'est pas très sécurisé sur ce point. Par contre, je pense qu'avertir ne sert à rien (le problème de sécurité sera toujours là). Soit Forumactif règle ce problème (balises Meta et Iframe non lues comme les balises Javascript) soit il désactive le HTML dans les messages tout court.

[Kriegy]

Je pense que justement, retirer ne serait pas non plus la meilleur des choses. sur ce principe, pour pouvoir se retirer face au hacking, il faudrait supprimer internet... Ce qui n'est cependant pas la meilleur des marches à suivre.

Quand à avertir, il ne faudrait pas s'arrêter là mais mettre aussi une base de connaissances sur les méthodes pour enrayer les messages de trolling.

[JADE]

je trouve aberant que tu balance ce genre de code comme ça !!

c'est quoi ta motivation au juste ?
ne crois tu pas que des vrais emmerdeur ne vont pas sauter sur l'occasion
pour balancer tes code un peu n'importe ou ???

au dela de ça, je vote plus tard.. j'ai pas tout compris..

[Empire-secret]

Je pense que justement, retirer ne serait pas non plus la meilleur des choses. sur ce principe, pour pouvoir se retirer face au hacking, il faudrait supprimer internet... Ce qui n'est cependant pas la meilleur des marches à suivre.

Je crains tout de même que la dispense de l'information du genre "attention le code ci-dessous ferait tels et tels dégats" risque de créer une tentation quasi-irrésistible pour un bon nombre de petits malins de foutre le bordel.

Les pseudos hackeurs et piratages de FA sont légions et il n'y a pas un semaine sans qu'un membre n'ait des problèmes sur son forum parce qu'il n'a pas été vigilant avec des règles très simples de sécurité.

Ton idée est intéressante et part d'un bon sentiment mais elle sera surtout applicable pour un public averti : la mettre aux mains de tout le monde me semble très dangereux.

Je pense qu'à tout prendre je préfère que ces informations sont compartimentées et ne circulent qu'entre dév' et autres "pro" : quand il y a un problème de ce genre ça sera plus facilement résolvable par un public qui s'entend que si chacun commence à faire sa salade en html.

Rien n'empêche d'ailleurs de faire un sujet où tu recenses des failles et où tu développes des correctis ; ces derniers étant alors transmis au staff. C'est une sécurité supplémentaire.

Je réserve toujours mon vote cela dit.

[JADE]

Je crains tout de même que la dispense de l'information du genre "attention le code ci-dessous ferait tel et tel* dégat*" risque de créer une tentation quasi-irrésistible pour un bon nombre de petits malins de foutre le bordel.

possible d'editer votre 1er message pour changer des bouts de code ?
parce que la j'ai copier une partie de texte qui reflete bien ma façon de penser
Empire-secret a raison..

quelqu'un pour editer les codes en question ?
je suis étonné du manque de rapidité avec laquelle vous otez ces codes
indesirables..

[ProgVal]

Jade>>Les deux premiers codes sont accessibles rien qu'en lisant quelques chapitres d'un manuel de HTML ou de Javascript.

Le troisième est peut-être un peu plus complexe, là, je suis d'accord avec toi.

[JADE]

ces codes sont ils valides ?
enfin je veut dire, si quelqu'un les poste dans un messages, auront t'il leffet expliqué ?
parce que je craint que certain n'ai deja sauté sur l'occasion..
ceci dit je vote POUR cette suggestion..
bien joué !
devant ma tite panique je ne vois d'autre alternative..
disons que la peur aura eu raison de moi

[ProgVal]

Il me semble que la redirection, et l'ouverture de popups sont bloquées par ForumActif.

reste le troisième code...

D'autant plus que le premier code doit être posté dans les balises méta.

EDIT: Je viens de tester le script de popup, il ne marche pas.

[Empire-secret]

Jade ===> tu ne veux pas non plus éditer ta citation ? les deux fautes que j'ai ensuite ensuite corrigées me sont un sacré camouflet (j(ai honte, j'ai honte....)


Oui, enlevons ces codes de première page, on a compris maintenant ; je me demande d'ailleurs si les problèmes rencontrés la semaine dernière avec des codes html malveillants ne viennent pas de là


ProgVal ====> le vrai pirate qui ouvre le bouquin d'HTML est dans une telle logique qu'il ne va pas se mettre à faire du code aussi simple ; en revanche les petits **** (vous m'avez compris) qui rêvent de se faire mousser sans consacré les heures nécessaires à l'apprentissage d'un language seront plus que ravis de découvrir des "codes clé en mains"


EDIT : j'ai testé de mettre le code à pop-ups dans un sujet très suivi, par exemple le flood ; je ne te raconte pas les ravages

[JADE]

tres malin de poster les codes qui vont avec sa demande...
heureuse de savoir qu'ils ne fonctionnent pas..
ceci dit il dois juste manquer une virgule ou autre truc de ce genre

pardonnez moi, je ne me sent pas rassuré face a ce genre de chose
merci pour ton aide ProgVal

[JADE]

j'ai edité ta citation Empire..
suis pas doué pour l'hortographe cause je tappe trop vite pff
mais ça devrai aller
etoile ou j'ai oter des lettres inutiles et gras pour le corrigé

voilou

[Empire-secret]

EDIT: Je viens de tester le script de popup, il ne marche pas.

Ma foi quand je l'ai testé il y a quelques jours il fonctionnait parfaitement...... et a provoqué une sacrée panique.


Jade ===>
merci très chère, d'au demeurant
usant de cette fonction
ayant porté au firmanant
le fruit de notre diction

(les octosyllables ne sont pas rigoureusement académiques mais j'espère qu'elles feront cependant plaisir )


Revenons au sujet :
personnellement le premier imbécile qui s'amuse à me faire un coup pareil aura droit à un sévère retour de flamme : pourrissage de boites e-mails, scripts dans ses mp, et des petits softs qui lui ferront plaisir. Je soigne le mal par le mal et j'ai un très mauvais caractère.

Je m'interroge : un antivirus comme avast sensé bloquer les scripts dangereux n'est-il pas d'une certaine efficacité ? N'a y-t-il pas d'autres protections que de devoir virer le javascript et le html ?

[JADE]

Jade ===>
merci très chère, d'au demeurant
usant de cette fonction
ayant porté au firmanant
le fruit de notre diction

Je me rejouie de votre prose
mais une question s'impose
Seriez vous quelque peu poete
pour ainsi me chavirer la tete ?

[Kriegy]

Sur demande des utilisateurs, les codes ont été supprimés.

En réponse à Empire, je dois malheureusement dire que non. Certains scripts basiques utilisés par des lamers (personnes se faisant passer pour hacker sans grande expérience ni même connaissances) sont en effet bloqué.

Néanmoins, l'exemple du code 3 l(illustre [supprimé sur demande d'un utilisateur] il est extrêmement simple de camoufler un code dans un autre pour qu'il ne paraisse nullement dangereux en apparence... Avant qu'il ne génère certains risques. Sur le même principe de ce code 3, je cite l'attaque chinoise sur le site de Reportière sans frontière (il suffisait de visiter le site pour être infecter via un trojan. Screen : (merci zataz ^^)

Les protections qui peuvent être appliquer son celles de l'information et de la décontamination. Excepté cela, il n'y a rien d'autre contre des menaces webs pareil.

En réponse au sujet de ce que vous appelez "popup", via une iframe, et je n'en dis pas plus (retirer un exemple témoins ne servirait à rien si j'expliquait en détail) il est possible d'implanter autant de JS que l'on veut (note : Il s'agit d'un alert("");, pas d'une popup )

[Empire-secret]

Ca promet tout ça....... mais pourquoi diable les "gens" se piquent-ils d'inventer tout cela ? ah je vais finir par en venir à regretter le temps du cryptage au chiffre de Cesar

bon, mais sinon, que me réponds-tu sur ça :

Ton idée est intéressante et part d'un bon sentiment mais elle sera surtout applicable pour un public averti : la mettre aux mains de tout le monde me semble très dangereux.

Je pense qu'à tout prendre je préfère que ces informations sont compartimentées et ne circulent qu'entre dév' et autres "pro" : quand il y a un problème de ce genre ça sera plus facilement résolvable par un public qui s'entend que si chacun commence à faire sa salade en html.

car finalement de quelle manière verrais-tu la chose ?

[Kriegy]

Là repose toute ma suggestion.

Tout d'abord, sur le panneau d'administration, ci-après "Autoriser le HTML" j'aurais bien vu un petit point d'interrogation générant une bulle Expliquant les risques de tentatives de hacking pouvant générer de multiples problème.

Après quoi, un lien serait disponible, vers une base de connaissance en cas de soucis, expliquant les différentes formes de problèmes puis les différentes façon d'enrayer les soucis pouvant avoir été généré, avec les différents moyens de retrouver les fautifs.

Mais surtout, je me répète ^^, informer l'utilisateur avant le désastre...