Vulnérabilités dans les testeurs SSL

La majorité des outils permettant de tester un certificat SSL, qui font confiance aux données présentes dans les certificats émis par les autorités de certification, ont été vulnérables à des attaques XSS menées avec un certificat auto-signé. Découvrez-les !

0

Abstract

Il existe de nombreux services sur internet permettant de vérifier des certificats SSL. Ceux-ci affichent des informations sur les certificats et indiquent s’ils sont valides et bien configurés. Cependant, il existe un bon nombre de Vulnérabilités dans les testeurs SSL.

Injection de JavaScript

Avec la librairie OpenSSL, il est facile de créer un certificat SSL auto-signé avec les renseignements de son choix. On peut donc créer et installer un certificat de ce type :

Fake SSL Screen
Figure 1 : Fake SSL Screen

Ce certificat contient des injections XSS dans plusieurs champs. La question est alors la suivante : que se passe-t-il si on teste ce certificat SSL sur des vérificateurs en ligne ?

Ceci a été essayé il y a quelques jours sur plusieurs de ces services, parmi les plus connus :

1. SSL Checker :

SSL Checker
Figure 2 : SSL Cheker

2. SSL Tools :

SSL Tools
Figure 3 : SSL Tools

3. SSL Tools Go Daddy :

SSL Tools Go Daddy
Figure 4 : SSL Tools Go Daddy

4. Go Get SSL :

Go get SSL
Figure 5 : Go Get SSL

5. SSL 2 Buy :

SSL 2 Buy
Figure 6 : SSL 2 Buy

6. UK Fast :

UK Fast
Figure 7 : UK Fast

7. Trust Ico :

Trust Ico
Figure 8 : Trust Ico

8. Click SSL :

Click SSL
Figure 9 : Click SSL

9. Comodo SSL Store :

Comodo SSL Store
Figure 10 : Comodo SSL Store

Ces outils, qui font confiance aux données présentes dans les certificats émis par des autorités SSL, étaient donc vulnérables à des attaques XSS menées avec un certificat auto-signé. Ils ont été rapidement corrigés ou mis en maintenance.

HTTPCS SSL Checker

HTTPCS propose également un service de checker SSL (https://www.httpcs.com/fr/tester-certificat-ssl) mais celui-ci n’est pas vulnérable à ce type d’attaque.

En définitive, cet exemple illustre parfaitement l’adage bien connu des développeurs web : « Ne pas se fier aux données utilisateurs ». Pour plus de renseignements ou détails (au choix) sur les failles XSS, vous pouvez consulter notre note d’information :https://www.httpcs.com/fr/faille-cross-site-scripting-xss

More

Comment

Your email address will not be published.