On Wed, 2005-01-12 at 10:21, Marc Mongenet wrote: > FÃlix Hauri wrote: > > On Tue, Jan 11, 2005 at 03:03:53PM +0100, Marc Mongenet wrote: > > > >>Mais je ne parlais que du cookie. Si le cookie n'est pas envoyà avec la > >>requÃte, le truc prÃsentà par Marc Schaefer ne fonctionne pas. > >> > > > > Si! > > > > L'attaquant n'a aucun besoin du cookie! > > > > Le cookie n'est pas envoyà à un autre site que celui pour lequel il est > > prÃvu (le > > serveur webmin). > > > > C'est le bon navigateur, qui s'adresse au bon site!!! > > > > Le seul truc, c'est que l'initiateur de la requete n'est pas l'utilisateur > > mais > > une image cachÃe dans le code html qui dÃclanchera la requete à l'insu > > du plein > > grà de l'utilisateur!!! > > > > :-\ > > > > Oui mais comme je disais, si le cookie n'est pas envoyà (au serveur > Webmin), alors l'attaque ne fonctionne pas. > > J'espÃre que les navigateurs n'envoient pas le cookie dans ce cas > (requÃte initiÃe par un document ne venant pas du serveur d'origine), > mais je n'en sais rien.
Ce que je sais c'est qu'un cookie est envoyà à celui qui en fais la requÃte. Il y à aussi des sites commerciaux qui gardent des statistiques en regardant les sites visitÃs (en se basant sur les cookies). Et pour les collecter ils se basent sur les cookies envoyÃes par les "banners" publicitaires. Donc Ãa ne m'Ãtonnerait pas que la mÃthode prÃsentà par Marc Schaefer puisse marcher sur la plupart des systÃmes. Au fond un cookie est envoyà (ou reÃu) si quelqu'un en fait la requÃte, et mÃme en les limitant à leurs sites crÃateurs Ãa n'empÃcherait pas à webmin d'en faire la requÃte et de l'obtenir en tant que cookie valide (puisqu'il serait validà car gÃnÃrà par le site webmin lui mÃme). Si j'ai bien compris les opÃrations sont les suivantes: - accÃs au webmin local - webmin stocke un coockie local - accÃs au site "pirate" - le site "pirate" inclut un lien sur le webmin local - le brower envoie la requÃte au webmin - le webmin demande le cookie - le browser controle que le site demandeur (webmin) à bien le droit de lire le cookie (gÃnÃrà par webmin lui mÃme). rÃponse: Oui - le browser envoie le cookie au webmin La seule solution serait de fermer le browser pour invalider le cookie (en supposant que le cookie lui mÃme soit invalidà par la fermeture du browser). Une autre possibilità est que le browser annule la session webmin (et du mÃme coup invalide le cookie) au moment ou on clique sur un autre site. Pour le vÃrifier il suffit d'ouvrir le webmin, s'identifier et ensuite aller sur un autre site, enfin entrer à la main l'URL d'une page webmin et voir s'il redemande l'identification, s'il ne la demande pas c'est que le cookie est encore valide. Une autre solution encore plus simple est celle de crÃer une page contenante l'exploit et voir si Ãa marche. :-P > Marc Mongenet ciao, Leo P.S.: je ne suis pas un expert du web, celles que j'ai fait ici sont uniquement des suppositions logiques basÃes sur ce que je sais sur le fonctionnement du web et des browsers. Si quelqu'un dÃcouvre une faille dans le raisonnement qu'il le dise, ce que je viens d'Ãcrire me prÃoccupe assez (mÃme si je n'utilise pas le webmin il y à mille autre faÃons d'exploiter une pareille possibilitÃ). _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
