Waldo, un nouvel outil d'audit abusant des WebSockets HTML 5

Par Rédaction, secuobs.com
Le 19/07/2012

---

Résumé : Lors de la prochaine conférence Black Hat USA, un nouvel outil d'audit, Waldo, sera publié afin de faciliter l'abus des WebSockets HTML 5 et de mettre en place des canaux malicieux de communication, mais également de subtiliser des cookies, des frappes clavier et des documents. - Lire l'article



HTML 5 est loin d'être une exception en matière de sécurité, notamment à cause des « WebSockets », un vecteur potentiel de compromission dont la sécurisation s'avèrera sûrement être un enjeu pour la sécurité de demain. Sergey Shekyan et Vaagn Toukharian tenteront de le démontrer dès la semaine prochaine avec la présentation de Waldo lors de la conférence Black Hat se déroulant à Las Vegas.

Cet outil vise en effet à faciliter la détection des vulnérabilités liées aux WebSockets, mais également d'en mesurer l'exploitabilité. Utilisé par seulement 1% des sites web mondiaux, les WebSockets devraient néanmoins se démocratiser à l'avenir de par la persistance, la rapidité, et l'efficacité des communications bi-directionnelles qu'elles offrent entre les navigateurs et les serveurs Web.

Comme souvent, le protocole en lui-même n'est pas ici incriminé, mais plutôt ses implémentations. De plus, si la plupart des navigateurs supportent ces WebSockets, c'est encore loin d'être le cas des solutions de filtrage ou des produits de détection/prévention d'intrusions du marché. En faisant la sourde oreille, ces solutions s'avèrent donc complètement inutiles en la matière pour le moment.

De façon plus ou moins similaire à TOR, ces WebSockets pourraient par exemple être abusées afin de servir de pivot et « anonymiser » des attaques menées par une personne mal intentionnée. Parmi ces attaques, on retrouverait entre autres du Cross Site Scripting (XSS) ou des Dénis de Services (DoS), chaque WebSocket étant capable de supporter jusqu'à 1 000 connexions simultanées.

Waldo utilise un serveur Websocketpp afin de démontrer justement la facilité avec laquelle ces WebSockets sont exploitables pour mener à bien ces attaques, aussi bien côté client que serveur d'ailleurs. L'établissement de canaux malicieux de communication étant de plus ici envisageable, une piste que les développeurs de Botnets se sont sûrement déjà fait un plaisir de creuser pour l'avenir.

Waldo sera compatible Mac OS X et GNU/Linux, alors que l'envoi de commandes vers les navigateurs sera supporté, en vue notamment de récupérer des cookies, des frappes claviers ou des documents. On peut déjà imaginer les conséquences d'un Man In the Middle utilisant des WebSockets afin d'abuser les utilisateurs d'applications temps réel comme du support client en ligne par exemple.

WebSocket ( lien )
HTML 5 ( lien )
TOR ( lien )

Source :

« Waldo Finds Ways To Abuse HTML5 WebSockets » sur  Dark Reading ( lien )