[Contribution] Mozilla : HTTP Response Splitting et XSS vulnérabilités
Des XSS (réfléchie et stockée) ainsi qu’une vulnérabilité de type HTTP Response Splitting ont été découvertes sur un sous-domaine du projet Mozilla.org.
Un sous-domaine “oublié” de Mozilla.org comportait une application web de type “bêta” voire même un “proof-of-concept” d’une messagerie sécurisée via chiffrement asymétrique. Ce sous-domaine, non-indexé ni référencé, comportait plusieurs vulnérabilités décelées par l’un de nos consultants (à présent corrigées).
Une vulnérabilité de type Reflected XSS a pu être décelée au sein de l’applicatif, ainsi qu’une Stored XSS et une HTTP Response Splitting. Ces vulnérabilités permettent de corrompre le contexte des navigateurs des victimes, capturer des données personnelles et altérer le rendu des pages.
Le HTTP Response Splitting (HRS) est une technique d’injection au niveau des en-têtes (headers) en réponse du serveur. Le principe consiste à forger / modifier les en-têtes d’une réponse serveur à partir d’une requête client contenant de données arbitraires. L’OWASP indique :
HTTP response splitting occurs when:
- Data enters a web application through an untrusted source, most frequently an HTTP request.
- The data is included in an HTTP response header sent to a web user without being validated for malicious characters.
HTTP response splitting is a means to an end, not an end in itself. At its root, the attack is straightforward: an attacker passes malicious data to a vulnerable application, and the application includes the data in an HTTP response header.
D’après les directives du Bug Bounty de Mozilla, ces vulnérabilités ont été remontées aux équipes en charge du domaine au travers de tickets BugZilla sec-bounty.
Après quelques heures, les équipes de Mozilla ont supprimé l’entrée DNS associant ce serveur vulnérable au top-domain *.mozilla.org. Le serveur (IP) n’est d’ailleurs plus accessible depuis l’Internet au jour d’aujourd’hui.
Le Hall of Fame du Bug Bounty de Mozilla comporte à présent le nom du collaborateur SYNETIS ayant réalisé cette contribution.
Nous saluons les équipes de de Mozilla pour les divers échanges, leur amabilité et leur efficacité.
Sources & ressources :
- Bug 1311883 – Stored-XSS and Reflected-XSS in Chimein.mozilla.org secure messenger system
- Bug 1311887 – HTTP Response Splitting in chimein.mozilla.org (leverage to Reflected XSS)
- Mozilla Hall of Fame
- OWASP HTTP Response Splitting
Yann
Consultant Sécurité
