Récupérer l'historique Web du navigateur d'une victime sans recourir à du code Javascript

Par Xavier Poli, secuobs.com
Le 19/06/2009

---

Résumé : Making The Web propose une nouvelle version d'un outil qui permet de subtiliser l'historique d'un navigateur Web afin de prendre connaissance des liens déjà visités par la victime. A noter que, contrairement à la première version, celle-ci ne nécessite aucune exécution de code Javascript. - Lire l'article



Etre en mesure de récupérer, depuis une page Web, une partie de son historique Web à l'insu d'un visiteur n'est pas nouveau, Making The Web ( lien ) en avait déjà démontré la faisabilité dès le mois d'avril en exploitant une « fonctionnalité » sensible des navigateurs. Cette première version vérifiait si un utilisateur avait déjà visité la page d'accueil des sites les plus populaires, une requête AJAX ( lien ) récupérant ensuite une liste des pages les plus populaires pour les sites recensés.

Chacune de ces pages était alors vérifiée afin de déterminer si la victime l'avait précédemment visitée, il ne restait alors plus qu'à stocker ces informations et effectuer une analyse permettant de définir le profil de la victime en fonction de cet historique, facilitant ainsi par exemple l'inclusion d'encarts publicitaires ciblés ou de liens personnalisés pour augmenter les probabilités de réussite en vue d'une attaques de Phishing ( lien ).

Le code de cette démonstration avait quant à lui uniquement pour but de lister les différents sites recensés. Bien qu'efficace, cette version souffrait principalement pour l'attaquant de la nécessité d''exécuter du code Javascript. Des codes qu'il est aisé de stopper via l'adoption d'une extension permettant de bloquer ce type d'exécution au niveau du navigateur dès lors qu'ils proviennent d'un site n'ayant pas été considéré par l'utilisateur comme étant de confiance.

Partant de ce constat, une nouvelle version est dès à présent proposée. Elle permet d'arriver à un résultat semblable sans pour autant recourir à du code Javascript, contournant ainsi les protections précédemment citées. Cette version nécessite cependant que les balises Iframe ( lien ) et Meta Refresh ( lien ) soient autorisées, des fonctionnalité que certaines extensions de sécurité permettent aussi de désactiver pour les sites n'étant pas de confiance.

La démonstration de cette nouvelle version est disponible publiquement, toujours sur le site de Making The Web. Il est précisé que son exécution peut nécessiter quelques minutes avant de pouvoir visualiser les premiers résultats, cependant les différents tests se sont avérés relativement rapides puisque les premiers éléments furent affichés après seulement quelques secondes. Les sites les plus recensés à ce jour étant Youtube, Facebook, Slashdot et Twitter, avec une mention particulière pour le script « home.php » de Facebook.

La technique en question repose donc sur une iframe invisible comprenant un grand nombre de liens qui correspondent aux sites les plus populaires et éventuellement des liens pour des pages plus précises appartenant à ces sites. Si ces liens ont déjà été visités par la victime auditée, le CSS ( lien ) associé définit le chargement d'une image d'arrière plan qui va permettre d'enregistrer les informations et effectuer des actions concordantes, afficher les résultats dans le contexte de cette démonstration.

Démonstration de la première version avec Javascript ( lien )
Démonstration de la deuxième version sans Javascript ( lien )

Source : Twitter « @ryanlrussell @montemplar Sniffing Browser History with NO Javascript » ( lien )