Imaginez la situation : Un utilisateur de votre réseau explore nonchalamment l’internet et parcourt la section des commentaires d’un site web.
Cependant, une menace tapie, connue sous le nom de “cross-site scripting” (XSS), est prête à exploiter les vulnérabilités et à voler ses cookies de session, qui contiennent des données sensibles telles que ses identifiants de connexion.
Mais comment ce stratagème infâme se déroule-t-il et quelles sont les autres vulnérabilités open-source qui pourraient être exploitées au cours de ce processus ?
Scripts intersites
L’extrait de code suivant illustre un XSS :
//Vulnerable JavaScript code in a comment section
const userComment = ‘<img src=a onerror=”stealCookies()”>Check out this cool image!</img>’;
function stealCookies() {
const stolenCookies = document.cookie;
// Send stolen cookies to a remote server
}
Dans le code ci-dessus, la balise image contient un attribut onerror, qui déclenche l’exécution de la fonction stealCookies. Cette fonction s’empare des cookies de l’utilisateur et ouvre la voie à un accès non autorisé à des informations sensibles.
Falsification des requêtes intersites (CSRF)
Les attaques CSRF se produisent lorsqu’un attaquant incite le navigateur d’un utilisateur à effectuer une requête involontaire vers un site différent où l’utilisateur est authentifié. Cela peut conduire à l’exécution d’actions au nom de l’utilisateur sans son consentement.
<html>
<form action=”https://website.com/update-email” method=”POST”>
<input type=”hidden” name=”email” value=”iamahacker@example.com”>
<input type=”submit” value=”Update Email”>
</form>
</html>
Dans cet exemple, un utilisateur authentifié sur un site web peut, à son insu, soumettre un formulaire qui modifie son adresse électronique pour la remplacer par une adresse spécifiée par l’auteur de l’attaque. L’attaquant peut alors réinitialiser le mot de passe de ce compte en cliquant sur le lien Mot de passe oublié ? Le code de vérification sera envoyé à l’adresse électronique mise à jour de l’attaquant, qui pourra alors modifier le mot de passe et prendre le contrôle total du compte.
Comment détecter les vulnérabilités open-source qui se cachent en ligne ?
Pour détecter les vulnérabilités des logiciels libres :
- Maintenez vos bibliothèques et frameworks open-source à jour. Vérifiez régulièrement l’existence de correctifs et de mises à jour de sécurité pour éliminer les vulnérabilités connues.
- Mettez en œuvre et appliquez une politique globale de sécurité du contenu (CSP) pour contrôler les sources des scripts et empêcher l’exécution de code non autorisé.
- Définir l’attribut de cookie SameSite = “Strict”. L’attribut SameSite est chargé d’empêcher le transfert de données de cookies lors de requêtes interdomaines.
- Surveiller de près les sessions des utilisateurs et les activités sur le web à l’aide d’une solution de sécurité, telle qu’un SIEM, qui peut suivre et auditer les sessions des utilisateurs et les activités en ligne en temps réel. Log360, une solution SIEM de ManageEngine, peut être un complément indispensable à votre domaine de sécurité.
Si vos utilisateurs tentent de communiquer avec un site Web malveillant, le module de renseignement sur les menaces de Log360 fournira des analyses approfondies telles que la raison pour laquelle l’URL, l’adresse IP ou le nom de domaine est malveillant, la raison pour laquelle il est étiqueté comme malveillant, la date de sa dernière apparition sur la liste des menaces et la géolocalisation des entités malveillantes.
Vous pouvez exécuter des workflows automatisés pour ajuster instantanément les politiques de pare-feu afin d’empêcher vos utilisateurs d’envoyer et de recevoir des données de ces entités malveillantes.
Vous pouvez également marquer une liste d’applications comme Sanctionnées en utilisant le module CASB de Log360 pour permettre aux utilisateurs de votre réseau d’accéder librement aux applications. Vous pouvez marquer les applications malveillantes et indésirables comme non sanctionnées pour restreindre l’accès à ces applications.
Vous pouvez essayer ces fonctionnalités dans votre environnement gratuitement en téléchargeant la version d’évaluation de 30 jours de Log360.
Source : Security warning! All of us are victims of open-source vulnerabilities by Shehnaaz N
