Boutique en ligne, autopsie d'une faille de sécurité

llaumgui — Tue, 19 Apr 2005 19:13:00 +0000

Actuellement, je travail pour une boutique de vente en ligne réservée aux professionnels mais qui, depuis peu, s'ouvre au tout venant. Dans ce billet, pour des raisons évidentes de sécurité, je ne donnerais ni de nom, ni de plus grosses descriptions (Et les captures seront modifiés) : cela afin que vous ne profitiez pas de la faille avant que je la (les) corrige(s)...
Jusqu'à ce que tout soit sécurisé, appelons les Boutique X.

I Première faille de sécurité : Calcul du prix via JavaScript :

Boutique X gère un très grand nombre de produits tous modifiables (Désolé, je ne peux rentrer dans le détails.). Chaque panier doit être calculé en temps réel... C'est à ce niveau qu'intervient JavaScript.

Problème : Le calcul s'effectuant côté client, il est donc facile de le modifier pour changer le prix de façon avantageuse...
Solution : Effectuer le calcul côté serveur (php).

II. Deuxième faille de sécurité : register_global = On :

Autre faille de sécurité : les variables passées via le formulaire grâce à la méthode post (method="post") ne sont pas récupérée via $_POST['variable'] mais par $variable.

Problème : On peux modifier certaines variables en les passant par l'url...
Rustine : Vérifiant que le tableaux $_GET contient uniquement les 2 champs que l'on utilise...

Par soucis de rigueur, et partant du constat : "Qui peux le plus, peux le moins" ; je conseils à tout le mode de travailler sous register_global = Off, plus contraignant... Ce qui marche à Off marche à On mais la réciproque est fausse !!!

III Coup de grâce : WebDeveloper :

WebDeveloppeur est une extension pour FireFox permettant de modifier une page web directement via ce navigateur... J'en parlais déjà là et je l'utilise tout le temps pour débuguer mes sites (Essayez là, c'est trop pratique, mais là n'est pas la question).

Le problème vient du fait que le prix calculé précédement (Voir paragraphe I) passe de pages en pages via le formulaire et ce avec d'autres données sensibles... C'est en soit une énorme faille de sécurité que WebDeveloper rend accessible au premier pirate venu...

Vous pouvez voir en arrière plan, une partie des champs "hidden" rendus visible... Il y en a une pleine page !!!

Outre le fait de permettre de rendre les champs hidden (<input type=hidden) visibles, WebDeveloper permet aussi de les modifier comme le montre la capture ci-dessous, où le prix est devenu "LLaumgui Euro". Bien sûr mettre LLaumgui ne sert qu'à signer mon acte, mais modifier le prix pour un autre plus bas, là c'est avantageux !!!

Désolé, là encore, j'ai presque tout masqué ce qui pouvais permettre d'identifier l'entreprise...

Solution : Utiliser les sessions et recalculer le tout avant de passer par le système de payement...

Le blog de llaumgui - Balise - WebDeveloper

Boutique en ligne, autopsie d'une faille de sécurité

I Première faille de sécurité : Calcul du prix via JavaScript :

II. Deuxième faille de sécurité : register_global = On :

III Coup de grâce : WebDeveloper :