Le livre de

Le thème de la sécurité du web

Si vous ne deviez retenir qu’une seule chose de ce chapitre, ce serait celle-ci:

> Ne jamais - sous aucune circonstance - faire confiance au données issues du navigateur.

Vous ne savez jamais qui est de l’autre côté de cette connexion HTTP. Il peut s’agir de l’un de vos utilisateurs, mais il peut tout aussi bien s’agir d’un infâme cracker à la recherche d’une ouverture.

Toute donnée (et quelque soit sont type) provenant du navigateur doit être traitée avec une dose slavatrice de paranoïa. Ceci inclus à la fois les données «sur la bande» (c’est à dire, soumises par des formulaires web) ou «en dehors de la bande» (c’est à dire les en-têtes HTTP, les cookies ainsi que les autres informations de requête). Il est trivial de simuler les métadonnées de requête que le navigateur ajoute en général automatiquement.

Chacune des vulnérabilités abordées dans ce chapitre découle directement de la confiance des données qui arrivent et qui ne sont pas nettoyées avant usage. Vous devriez généraliser cette pratique consistant à continuellement vous demander «d’où proviennent ces données ?».

Injection SQL

L’injection SQL est un exploit courant dans lequel un attaquant altère les paramètres d’une page web (tels que les données GET/POST ou les URLs) pour insérer des extraits de SQL arbitraires qu’une application web naïve exécutera directement dans sa base de données. C’est probablement la faille existante la plus dangereuse - et malheureusement, l’une des plus courantes.

Cette vulnérabilité surgit principalement lors de la construction du SQL - à la main - depuis l’entrée de l’utilisateur. Par exemple, imaginons l’écriture d’une fonction qui construise une liste de contact depuis une page de recherche de contact. Pour empécher les spammeurs de lire chaque courrier de votre système, nous forcerons l’utilisateur à entrer son nom d’utilisateur avant de lui fournir son adresse de courrier:

def user_contacts(request):
    user = request.GET['username']
    sql = "SELECT * FROM user_contacts WHERE username = '%s';" %
    username
    # execute the SQL here...

SELECT * FROM user_contacts WHERE username = '' OR 'a' = 'a';

SELECT * FROM user_contacts WHERE username = ''; DELETE FROM user_contacts WHERE 'a' = 'a';

foo.get_list(bar__exact="' OR 1=1")

SELECT * FROM foos WHERE bar = '\' OR 1=1'

from django.db import connection

def user_contacts(request):
    user = request.GET['username']
    sql = "SELECT * FROM user_contacts WHERE username = %s;"
    cursor = connection.cursor()
    cursor.execute(sql, [user])
    # ... do something with the results

Cross-Site Scripting (XSS)

Le Cross-site scripting (XSS) se trouve dans les applications web qui échouent, lors de l’échappement du contenu soumis par l’utilisateur, avant de faire le rendu en HTML. Ceci permet à un attaquant d’insérer du HTML arbitraire dans les pages web, généralement sous forme de balises <script>.

Les attaquants utilisent souvent des attaques XSS pour voler les cookies et les informations de session, ou tromper les utilisateurs afin qu’ils donnent des informations privées à la mauvaise personne (alias phishing).

Ce type d’attaque peut prendre différentes formes et connait des permutations infinies, aussi regarderons nous juste un exemple typique. Considerez cette vue «Helle World» extrement simple:

def say_hello(request):
    name = request.GET.get('name', 'world')
    return render_to_response("hello.html", {"name" : name})

Cette vue lit simplement un nom depuis un paramètre GET puis le transmet au gabarit hello.html. Nous devons écrire un gabarit pour cette vue, comme suit:

<h1>Hello, {{ name }}!</h1>

Ainsi si nous accédons à l’adresse http://example.com/hello/name=Jacob, la page renvoyée contiendra ceci:

<h1>Hello, Jacob!</h1>

Mais, attendez - que se passe-t-il si nous appelons http://example.com/hello/name=<i>Jacob</i>? Alors nous obtenons ceci:

<h1>Hello, <i>Jacob</i>!</h1>

Évidemment, un attaquant n’utilisera pas quelque chose d’aussi bénin que les balises <i>; Il pourrait inclure un jeu entier de HTML qui détournerait votre page avec du contenu arbitraire. Ce type d’attaque a été utilisé pour tromper des utilisateurs afin qu’ils saisissent des données dans ce qui ressemblait à leur site banquaire, mais qui en fait était un formulaire détourné par XSS permettant de soumettre leurs informations de compte à un attaquant.

Le problème s’aggrave si vous stockez ces données dans la base de données pour ensuite l’afficher sur votre propre site. Par exemple MySpace s’est retrouvé vulnérable à une attaque XSS ce cette nature. Un utilisateur a inséré du Javascript dans son profil pour l’ ajouter automatiquement en tant qu’ami lorsque vous visitiez sa page de profil. En quelques jours, il a obtenu des millions d’amis.

Ceci peut sembler relativement bénin, mais gardez à l’esprit que cet attaquant manoeuvrait pour que son code - et pas celui de MySpace - s’exécute sur votre ordinateur. Ceci viole la confiance assumée que tout le code de MySpace est en réellement écrit par MySpace.

MySpace à été extrémement chanceux puisque ce code malicieux n’effaçait pas automatiquement les compte de visiteurs, ou modifiait leur mot de passe, ou inondait le site avec du spam, ou tout autre scénario cauchemardesque révélé par cette faille.

<h1>Hello, {{ name|escape }}!</h1>

Cross-Site Request Forgery

Les Cross-site request forgery (CSRF) arrivent lorsqu’un site web malicieux trompe les utilisateurs en chargeant à leur insu un URL depuis un site où ils sont déjà identifiés - tirant ainsi parti de leur status d’identifié.

Django propose nativement un outil vous protégeant de ce genre d’attaque. L’attaque en elle-même ainsi que ces outils sont tous deux abordés avec force détails au chapitre 14.

Détournement/Falsification de session

Ce n’est pas une attauqe spécifique, mais plutôt une classe générale d’attaques sur les données de sessions d’un utilisateur. Elle peut prendre de nombreuses formes:

• une attaque man-in-the-middle, où l’attaquant espionne les données de session lors du transit sur le réseau filaire (ou sans fils).

• un détournement de session, où l’attaquant utilise un ID de session (probablement obtenu grâce à une attaque man-in-the-middle) afin de prétendre être un autre utilisateur.

  Un exemple de ces deux premières pourrait être un attaquant dans un cyber café utilisant le reseau sans fils de la boutique pour capturer un cookie de session. Il pourrait alors ensuite utiliser ce cookie pour se faire passer pour l’utilisateur original.

• une attaque par substitution de cookie, où un attaquant écrase les données supposées être en lecture seule et stockées dans un cookie. Le chapitre 12 explique en détail comment les cookies fonctionnent, l’un des points important étant qu’il est trivial pour les navigateurs et les utilisateurs malicieux de modifier les cookies sans que vous le sachiez.

  Il existe une longue histoire des sites web qui ont stockés un cookie du genre IsLoggedIn=1 ou même LoggedInAsUser=jacob. Il est extremement simple d’exploiter ce genre de cookies.

  À un niveau plus subtile, ce n’est jamais une bonne idée de faire confiance à tout ce qui est stocké dans les cookies; vous ne savez jamais qui a pu les insérer ici.

• la fixation de session, où un attaquant trompe un utilisateur en paramétrant ou en réinitialisant l’ID de session de l’utilisateur.

  Par exemple, PHP autorise les identifiants de session dans l’URL (par exemple, http://example.com/?PHPSESSID=fa90197ca25f6ab40bb1374c510d7a32). Un attaquant qui Atrompe un utilisateur grâce à un clic sur un lien ayant un ID de session codé en dur obligera l’utilisateur à condserver cette session.

  La fixation de session a été utilisée dans les attaques «phishing» pour tromper les utilisateurs en les invitant à saisir des informations personnelles pour un compte que possède l’attaquant. Il peut ensuite se connecter sur ce compte et récupérer les données.

• L’intoxication de session, oùun attaquant injecte des données potentiellement dangeureuses dans la session d’un utilisateur - habituellement grâce à un formulaire web que l’utilisateur soumet pour déterminer des données de session.

  Un exemple canonique est un site qui stocke une simple préférence utilisateur (comme une couleur d’arrière plan) dans un cookie. Un attaquant peut tromper un utilisateur grâce à un clic sur un lien permettant de soumettre une «couleur» qui contient en fait une attaque XSS; si cette couleur n’est pas échappée, l’utilisateur peut encore une fois injecter du code malicieux dans l’environnement de l’utilisateur.

Injection d’en-tête de courrier

L’injection SQL est bien moins connue que sa soeur, l’injection d’en-tête de courrier électronique, qui détourne les formulaires web envoyant des courriels. Un attaquant peut utiliser cette technique pour envoyer du spam via votre serveur de courrier. Tout formulaire qui construit des en-tête de courrier à partir des données provenant d’un formulaire web est vulnérable à ce genre d’attaque.

Jettons un oeil au formulaire de contact canonique que l’on trouve sur beaucoup de site web. Habituellement il envoie un message vers une adresse de courriel codée en dur et, par conséquant, ne semble pas à première vue vulnérable aux abus de spam .

Cependant, la plupart de ces formulaires autorisent aussi l’utilisateur à saisir son propre sujet pour le courrier (parmi l’adresse «De», le corps du message, et parfois quelques autres champs). Ce champs «sujet» est utilisé pour construire l’en-tête «subject» du message.

Si cet en-tête n’est pas échappé lors de la construction du message, un attaquant peut soumettre quelque chose du genre "hello\ncc:spamvictim@example.com" (où "\n" correspond au caractère nouvelle ligne). Ceci transformerait l’en-tête du courrier préparé en:

To: hardcoded@example.com
Subject: hello
cc: spamvictim@example.com

Comme pour l’injection SQL, si nous faisons confiance à la ligne sujet donnée par l’utilisateur, nous l’autoriserons à construire un jeu d’en-têtes malicieuses, il pourra alors utiliser notre formulaire de contact pour envoyer du spam.

Parcours de répertoire

Le Directory traversal est un autre style d’attaque par injection, où un utilisateur malicieux trompe le code du système de fichier en lisant ou écrivant des fichiers pour lesquels le serveur web ne devrait pas avoir accès.

Un exemple pourrait être une vue qui lit des fichiers depuis le disque sans assainir le nom du fichier:

def dump_file(request):
    filename = request.GET["filename"]
    filename = os.path.join(BASE_PATH, filename)
    content = open(filename).read()

    # ...

Bien qu’il semble que la vue restreigne l’accès aux seuls fichiers appartenant à BASE_PATH (en utilisant os.path.join), si l’attaquant transmet un filename contenant .. (il s’agit de deux points, un raccourci pour «le répertoire parent»), il peut accéder aux fichiers «sous» BASE_PATH. C’est juste une question de temps avant qu’il ne puisse découvrir le nombre correcte de points pour accéder avec succes, à ../../../../../etc/passwd par exemple.

Tout ce qui lit les fichiers sans échappement propre est vulnérable à ce problème. Les vues qui écrivent des fichiers sont tout aussi vulnérables, mais les conséquences sont doublement terribles.

Une autre permutation de ce problème réside dans du code qui charge dynamiquement les modules basés sur l’URL ou d’autres informations de requête. Un exemple ayant deffrayé la chronique nous est parvenu du monde Ruby on Rails. Un peu avant la mi-2006, Rails utilisait des URLs comme celle-ci http://example.com/person/poke/1 pour charger directement les modules et appeler les méthodes. Le résultat fut qu’une URL soigneusement construite pouvait automatiquement charger du code arbitraire, y compris un script de réinitialisation de la base de données !

import os
import posixpath

# ...

path = posixpath.normpath(urllib.unquote(path))
newpath = ''
for part in path.split('/'):
    if not part:
        # strip empty path components
        continue

    drive, part = os.path.splitdrive(part)
    head, part = os.path.split(part)
    if part in (os.curdir, os.pardir):
        # strip '.' and '..' in path
        continue

    newpath = os.path.join(newpath, part).replace('\\', '/')

Messages d’erreur exposés

Pendant le développement, être capable de voir les traces et les erreurs directement dnas votre navigateur est extrêmement util. Django possède de «jolis» et d’instructifs messages d’erreur tout spécialement pour rendre le débuguage plus facile.

Cependant, si ces erreurs sont affichées une fois le site en production, elle peuvent révéler des aspects de votre code ou de votre configuration qui peut aider un attaquant.

Par ailleurs, les erreurs et les traces sont totalement inutiles aux utilisateurs finals. La philosophie de Django est que les visteurs du site ne doivent jamais voir les meesages d’erreur relatifs à l’application. Si votre code lève une exception non gérée, un visiteur ne doit pas voir la trace complète - ou tout autre échantillon de code ou de message d’erreur Python (à destination des programmeurs). Au lieu de cela, le visiteur doit voir un message «Cette page n’est pas disponible» amical.

Naturellement, les développeurs ont besoin de voir les traces pour résoudre les problèmes dans leur code. Aussi le framework doit masquer tous les messages d’erreur au public, mais il doit aussi les afficher aux développeurs de confiance du site.

Un dernier mot sur la sécurité

Nous espérons que toute cette discution sur les problèmes de sécurité n’est pas trop intimidante. Il est vrai que le web peut être un monde trouble et sauvage, mais avec un peu de prévoyance, vous pouvez obtenir un site web sécurisé.

Gardez à l’esprit que la sécurité sur le web est un champs en constant changement; si vous lisez la version figée de ce livre, assurez vous de consulter des ressources plus à jour en matière de sécurité en particulier au sujet de toute nouvelle faille qui aurait pu être découverte. En fait, c’est toujours une bonne idée de passer quelque temps une fois par semaine ou une fois par mois à rechercher et à rester à jour sur l’état de l’art en matière de sécurité des applications web. C’est un petit investissement à faire, mais la protection que vous obtiendrez pour votre site et vos utilisateurs est sans prix.

Et ensuite ?

Dans le chapitre suivant nous aborderons finalement les subtilités du déploiement de Django: comment lancer un site en production et comment le paramétrer en prévoyant des évolutions.

<< précédent ◊ suivant >>