Scrubbr automatise le traitement des attaques Cross Site Scripting stockées dans une base de données

Par Xavier Poli, secuobs.com
Le 12/03/2009

---

Résumé : Scrubbr est une solution gratuite d'automatisation pour la recherche et l'éradication des attaques de type Cross Site Scripting qui sont stockées dans les contenus persistants d'un site Web via la base de données qui lui est associée. - Lire l'article



Il peut s’avérer parfois fastidieux d’identifier et d’éradiquer de façon manuelle les contenus persistants qui contiennent des attaques de type Cross Site Scripting XSS ( voir notre dossier - lien ) et qui sont stockées dans une base de donnée associée à un site web. Impliquant un danger considérable pour l’ensemble des utilisateurs du site, leur traitement est néanmoins impératif. Partant de ce constat, Scrubbr est un outil, placé sous licence BSD ( lien ), qui permet d’automatiser ces opérations.

Scrubbr s’inspire partiellement de Scrawlr ( lien ), une version gratuite de l'outil d'analyse dynamique HP WebInspect ( lien ) publiée pour faciliter la détection de façon similaire des attaques par injections SQL ( lien ) et cela notamment après que Asprox ( voir notre revue de presse - lien ) ait exploité de façon massive une centaine de milliers de sites basés sur l'utilisation du langage Microsoft ASP ( lien ).

A noter que Aspect Security ( lien ) vient d’offrir généreusement Scrubbr (lien ) à l’OWASP ( lien ). Scrubbr est un programme Java ( lien ), avec une interface graphique, compatible avec les technologies les plus populaires de gestion de bases de données, MySQL ( voir notre dossier - lien ), Microsoft SQL Server ( lien ) et Oracle ( lien ).

La détection des XSS avec Scrubbr repose en interne sur l’utilisation du moteur OWASP AntiSamy ( lien ) qui vise à fournir une interface de programmation ( API - lien ) pour s’assurer que des entrées utilisateurs soient en conformité avec des règles prédéfinies et ainsi éviter l’insertion de codes malicieux, type Javascript ( lien ) ou autres, dans les contenus persistants d’un site via des formulaires d’entrée comme ceux des systèmes de commentaires ou de gestion de profils.

Les résultats sont, pour l’heure, assez concluants sur les bases MySQL et Microsoft SQL Server, alors que les tests Oracle n’ont été effectués que trop partiellement pour en tirer une quelconque conclusion. Développer un outil universel de ce type, fonctionnel en lecture et en écriture, est un challenge plutôt ardu. Etant de plus relativement récent, quelques dysfonctionnements sont encore à « déplorer » et notamment la désinstallation sur les systèmes Microsoft Windows Vista et le processus d’éradication de certains éléments malveillants détectés.

Le contenu des champs, où le code malicieux a été détecté, peut parfois être complètement effacé alors qu’initialement il n’aurait dû l’être que partiellement, aussi il est vivement conseillé de travailler préalablement sur une copie de la base qui ne soit pas en production. Si le scan d’une base entière peut être à la source d’erreur, il s’avère également parfois préférable de scanner les tables individuellement pour obtenir des résultats plus satisfaisants, ce fut notamment cas lors pour un test mené sur phpBB ( lien ).

Dans ce sens, il est possible de restreindre les opérations en spécifiant des tables particulières, des lignes ou des colonnes. Pour des raisons de transparence, les alertes remontées par Scrubbr fournissent de plus à l’auditeur des informations complémentaires sur les raisons pour lesquelles un contenu a été évalué comme malveillant. Le déroulement de l’ensemble du processus peut s’avérer assez lent, notamment sur les bases importantes, néanmoins Scrubbr est une solution pratique qui fera finalement gagner un temps considérable, comparée à une procédure manuelle.

Il existe également des chances pour que certaines entrées légitimes de la base soient identifiées comme des menaces, certaines émoticônes ( lien ) complexes peuvent par exemple être reconnues en tant que balises. La prochaine version de Scrubbr devrait permettre l’interfaçage des règles PHPIDS ( lien ) pour réduire considérablement ce nombre de faux positifs. A noter que Scrubbr n’est pas une solution de détection et de résolution des XSS propres aux applications Web, il ne permet « que » le traitement des contenus XSS malicieux stockées dans une base.

Des fichiers de règles basiques (Slashdot, eBay, MySpace) au format XML ( lien ) sont disponibles, les détails sur la page spécifique ( lien ) au projet AntiSamy du site de l’OWASP. Le programme d’installation de Scrubbr est quant à lui accessible sur le site Google Code ( lien ). A savoir également que Scrubbr ( lien ) est compatible avec les versions supérieures à la version cinq incluse de MySQL ainsi qu’avec les versions égales ou supérieures à la version deux mille cinq de Microsoft SQL Server.

Source : Security Bloggers Network ( lien )