décembre 28th, 2009

Soroush Dalili, chercheur de Secproject, offre aux webmestres une méthode de spoofing joliment empaquetée : le point virgule en fin d’extension d’url. La méthode serait particulièrement efficace avec toutes les éditions d’Internet Information Server.

Le principe est simple : pour éviter de véhiculer des contenus dangereux, les administrateurs de sites filtrent généralement les liens en se basant sur la nature de l’extension des fichiers réputés dangereux. A commencer bien sûr par les contenus actifs, ASP et autres cousins. Mais la détection de cette fameuse extension, explique Soroush Dalili, peut être annihilée par le simple ajout d’un «point virgule » situé immédiatement après le suffixe réel. Du coup, un KillerApp.asp;.jpg sera invisible aux systèmes de filtrage et pourra s’exécuter puis infecter les visiteurs du site.

D’interminables discussions byzantines sur la dangerosité réelle de la découverte escortent déjà cette publication. Bénigne selon certains, qui ne voient là qu’une méthode de forgerie facile à corriger ou à contourner, dramatique pour d’autres. En l’absence de correctif, cette faille pourrait s’avérer aussi dangereuse que le furent les extensions .com déguisées en lien.