XSS et mots de passe : Le risque du remplissage automatique
Рет қаралды 3,149
Күн бұрынDans cette vidéo, vous allez découvrir pourquoi il est important de désactiver le remplissage automatique des mots de passe et comment cela peut être exploité pour voler vos identifiants via une attaque XSS.
🔍 Ce que vous apprendrez :
- Pourquoi faut-il désactiver l'autocomplétion des mots des passes
- Comment récupérer les mots de passe renseignés automatiquement via une attaque XSS
👨💻 À propos de moi :
Je suis pentester professionnel avec 8 ans d'expérience dans la réalisation de tests d’intrusion et je partage régulièrement mes connaissances et découvertes dans le domaine de la cybersécurité.
🔗 Ressources et liens utiles :
- Documentation OWASP sur les XSS : owasp.org/www-community/attac...
- Documentation Burp Academy sur les XSS : portswigger.net/web-security/...
- Documentation Hacktricks sur XSS : book.hacktricks.xyz/pentestin...
📋 Chapitres :
0:00 : Introduction
0:22 : Gestionnaire de mot de passe
0:56 : Le problème de l'autocomplétion
1:09 : Rappel sur les XSS
2:17 : Exploitation
6:24 : Conclusion
🌐 Restons connectés :
- Visitez mon site web pour plus d'infos sur mes services : secureaks.com
- Connectez-vous avec moi sur LinkedIn pour une collaboration ou pour suivre mes dernières mises à jour professionnelles : / romain-garcia-pentest
- Rejoigniez nous sur Discord pour parler pentest et cybersécurité : / discord
N'oubliez pas de liker la vidéo si vous la trouvez utile, et abonnez-vous à ma chaîne pour ne pas manquer mes prochaines vidéos sur la sécurité informatique. Vos commentaires sont toujours les bienvenus pour discuter et approfondir les sujets abordés !
@magrigrigri 27 күн бұрын
Attention, pour ceux qui auraient un doute il ne faut pas remettre en question l’usage d’un gestionnaire de mot de passe. Il faut juste effectivement ne pas utiliser l’auto complétion automatique, et privilégier une auto complétion qui nécessite une action manuelle comme un clique sur un bouton. N’oubliez pas que le pire de tout, c’est de réutiliser un même mot de passe (ou un même pattern) sur plusieurs sites/services différents. Même noter des mots de passe sur un carnet papier physique est préférable.
@blutch112 Ай бұрын
Intéressant comme démonstration, et bien expliqué.
@JohanLacoste-dh1cb Ай бұрын
Génial, tellement clair et fluide dans l'explication j'adore !
@Secureaks Ай бұрын
Merci beaucoup :)
@jetonpeche 23 күн бұрын
super démo merci pour ces explications
@stewe605 Ай бұрын
excellente présentation, merci
@larssenYT 28 күн бұрын
Super intéressant merci!
@Kelyan_blg Ай бұрын
Je vais devoir changer ma méthode d'enregistrements de mots de passe après cette vidéo 😵😂 merci Secureaks 👌🏼
@Secureaks Ай бұрын
Avec plaisir :)
@theminester7897 27 күн бұрын
Super vidéo, très claire pour comprendre les vulnérabilité XSS 👍. Ce serait intéressant aussi si possible d'avoir le côté blue team avec des méthodes de remédiation ou des moyens de protection pour l'utilisateur.
@Secureaks 27 күн бұрын
Merci beaucoup 😊 Oui c'est vrai, je prévois de faire une vidéo qui parlera plus en détail des XSS et de comment les corriger et les éviter.
@yvansimon6686 27 күн бұрын
Merci beaucoup pourquoi ta pas assez de like j'attend ta video sur burp suite
@pokic4t Ай бұрын
Je savais pas que javascript avait une fonction pour transformer en base64 !! 😱 Ca m'évitera d'utiliser des libs à l'avenir. 😂
@ek.ception 24 күн бұрын
btoa : Encodage en base64 atob : Decodage de base64 Je ne savais pas qu'il y avait d'autres méthodes pour cela 😂 J'aimerais bien voir ces libs.
@airsoftaveugle Ай бұрын
super vidéo. Je me demande si tu as bien masqué ton code ou si un utilisateur avec un lecteur d'écran pourrait le détecter. souvent on oublie que certains users intéragissent avec le code css/js/html directement, parfois je lis même des bouts de code qui ne sont pas sensé être autant visible. je renouvelle une proposition de chalange colaboratif en vidéo, essayer de faire de la sec sans écran voir si les outils de pentest sont bien accessible avec un lecteur d'écran et autre techno d'assistance. sécuriser une machine voir aussi s'il y a des inégalités en la matière, si un utilisateur avec de bonne connaissance mais un handicap peu quand même être au même niveau qu'un même utilisateur sans.
@Secureaks Ай бұрын
C'est une bonne question, je ne sais pas si le lecteur d'écran détecte un élément qui est en "display: none", mais de toute façon ce n'est pas vraiment important pour un attaquant. Dans ces cas là il va essayer d'être le plus discret possible mais s'il ne l'est pas ça ne l’empêchera pas de tout de même voler des identifiants.
@airsoftaveugle Ай бұрын
@@Secureaks ahah oui en effet. après me demandais si nos techno d'assistance ne pouvaient pas être alors détournée pour renforcer la sec du site du coup. un peu comme dans les soft anti plagia qui pouvaient longtemps être trompés par l'ajout de caractère dont on change l'apparence pour les rendre invisible à l'oeil (mais qui n'auraient pas échapés à un lecteur automatique.)
@ek.ception 24 күн бұрын
Merci pour cette excellente vidéo. Je n'approuve pas non plus cet usage du gestionnaire mais j'aimerais mieux comprendre. Est-ce le délai de remplissage du formulaire qui pose problème ? Si oui, je pense que l'attaquant pourrait bien utiliser le JS pour déclencher le vol d'identifiants au moment où la victime valide le formulaire plutôt que de mettre un timer. Sinon, qu'est-ce qui rend le remplissage manuel plus sûr que cette auto-complétion ?
@Secureaks 24 күн бұрын
Merci :) En fait ce qui pose problème c'est que le formulaire soit rempli automatiquement. Si la vulnérabilité XSS était sur la même page que le formulaire, on pourrait effectivement attendre que l'utilisateur saisisse son mot de passe et ça fonctionnerait également. La vidéo couvre le cas ou la XSS est sur une autre page et où on va créer nous-mêmes, via la XSS, un formulaire de connexion qu'on va cacher, mais que le gestionnaire va voir. Là, si le remplissage automatique est activé, on est quasiment sûr de récupérer les identifiants, et c'est ça qui rend le remplissage automatique plus dangereux que le remplissage manuel. Après de toute façon si une XSS stockée est présente sur le site, on peut faire plein d'autres choses, là c'est qu'un exemple d'exploitation parmi d'autres. J'espère que c'est plus clair.
@ek.ception 24 күн бұрын
Oui oui, très clair. Merci encore pour tout.
@yvansimon6686 26 күн бұрын
Et j'aimerais que tu fasse une video sur la sécurité word presse xml-rpc j'ai envie d en savoir plus sur sa et personne n'a deja fait un tuto sur sa en français merci
@Secureaks 26 күн бұрын
Bonne idée je note 😉
@MrCharron_ Ай бұрын
du coup avec un gestionnaire de mdp genre Dashlane c'est ok ?
@Secureaks Ай бұрын
Je n'utilise pas Dashlane personnellement, mais sur 1Password il faut cliquer sur un bouton pour que les identifiants soient renseignés, ils ne se renseignent pas tout seuls. Si c'est pareil sur Dashlane alors il n'y a pas de soucis, mais c'est à tester. Je sais qu'à l'époque où j'utilisais LastPass il fallait désactiver l'option pour éviter qu'il ne remplisse tout seul les identifiants.
@blutch112 Ай бұрын
@@Secureaks Sur Bitwarden aussi, l'autocomplétion n'est pas activée par défaut. Il faut selectionner l'id via un bouton en surimpression.
@cynodont7391 28 күн бұрын
@@Secureaks Pour Firefox, l'option à désactiver est "Remplir automatiquement les noms d'utilisateurs et mots de passes" dans la section "Vie privée et sécurité" des paramètres.
@user-xb5dh6yk5g 28 күн бұрын
l'attaqueur peut prendre tous les mots de pass enregistrés pour autre site ou bien seulement du site vulnérable ?
@Secureaks 28 күн бұрын
Hello ! Dans ce cas de figure, l'attaquant ne peut récupérer que les identifiants du site sur lequel il se trouve et uniquement si le remplissage automatique est activé.
@user-xb5dh6yk5g 28 күн бұрын
@@Secureaks merci pour l'info
@geronimoze Ай бұрын
Bonjour, Je tombe sur votre vidéo en me perdant sur la toile. Je ne suis pas informaticien, même si tout ça me parle un minimum, mais je me demande quand même, ptet un point que j'ai pas capté dans la vidéo. Qu'est ce que ça change que ce soit le gestionnaire de FF (ou autre nav), un gestionnaire externe, ou la main du bug (entre le clavier et la chaise), qui remplisse le formulaire de connexion ? L''attaque xss ne marche donc que si le gestionnaire est intégré au navigateur en mode auto-remplissage ? C'est ça ? Existerait-il un gestionnaire pass gratuit et fiable du coup ?
@Secureaks Ай бұрын
Bonjour, Le principe ici c'est que le gestionnaire de mot de passe (si le remplissage automatique est activé), peu importe que ce soit celui du navigateur ou un autre installé via un plugin, va remplir automatiquement le formulaire de connexion dès que la page s'affiche. Pour ça il va chercher les champs du formulaire et les remplir s'il les trouve. Donc un attaquant peut utiliser une XSS (si présente sur le site) pour voler les identifiants. Après effectivement, on peut simplement attendre que l'utilisateur saisisse ses identifiants pour les voler avec du JavaScript mais dans ce cas il faut que la vulnérabilité XSS se trouve sur la même page que le formulaire, et il faut que l'utilisateur se connecte. L'exemple dans la vidéo couvre le cas de figure ou le formulaire n'est pas sur la même page et en plus cela ne nécessite aucune interaction utilisateur (si ce n'est ouvrir la page piégée). La j'ai pris Firefox en exemple parce que justement c'est activé par défaut, mais l'idéal est simplement de désactiver le remplissage automatique quand il est activé. J'espère que c'est un peu plus clair avec ce pavé ;)
@geronimoze Ай бұрын
@@Secureaks Merci, réponse on ne peut plus claire 👍
@geronimoze Ай бұрын
@@Secureaks Par contre, de fait, une idée sur un gestionnaire de password qui serait vraiment fiable et gratuit ? Ou si on désactive le remplissage automatique de Firefox c'est suffisant ? 🤔(je viens de le désactiver ^^) Ah et, à tout hasard je me permets une 'tite question hors sujet, votre vidéo étant plutôt claire. Auriez-vous fait une vidéo sur le simswaping ? Une pratique certes pas trop courante en France mais qui deviendrait, apparemment, de moins en moins rare. Des moyens de s'en protéger efficacement ou toujours rien ? (j'avais vu la vidéo de Sandoz y a plusieurs mois qui n'est pas des plus rassurantes, si ça vous parle) Quand on voit que les applis des opérateurs types sfr etc n'ont pas de double authentification possible avec logiciel tiers :/ Marchi à nouveau pour votre superbe et sympathique réponse. Bientôt vous aurez trop d'abonnés (et c'est tout le mal que je vous souhaite 😁👍) pour passer du temps à ce genre de réponses de commentaires, alors j'en profite j'avoue hihihi ^^
@leothell Ай бұрын
@@geronimoze Merci :) Honnêtement en gratuit je pense que les gestionnaires des navigateurs peuvent faire l'affaire si on désactive effectivement le remplissage automatique. Après le contenu du gestionnaire est peut-être plus facile à voler par un malware, mais il faudrait creuser le sujet. Personnellement j'utilise 1Password qui revient à environ 40€ par an. Pour ce qui est du simswapping je n’ai pas fait de vidéo dessus, mais c'est un bon sujet (je note). Et effectivement une des seules manières de s'en protéger selon moi, à part ce que peuvent éventuellement faire les opérateurs, c'est de ne pas utiliser son numéro comme double authentification, mais plutôt une application tierce comme Google Authenticator, mais effectivement il y a encore certains services pour lesquels on n’a pas le choix...
@geronimoze Ай бұрын
@@leothell Okay, merci pour cette nouvelle réponse :) Bon du coup, pour l'heure je vais continuer comme ça, n'ayant pas les moyens pour payer un énième abonnement à quelque chose ^^ Sinon donc vous dites bien pareil que ce que j'ai lu/vu/entendu partout, seule une appli d'authentification tierce fonctionne contre le simswp pour l'heure et c'est logique... 😢 Quand je pense que même les applis bancaires ne proposent toujours pas ça et sont toujours limitées à un pauvre mot de passe à 4 chiffres pour les virements par exemple XD Oui c'est un sujet de vidéo qui, je pense, devrait être traité par toutes les personnes qui parlent de sécurité des données sur la plateforme YT ou d'autres. C'est beaucoup trop facile pour ces escrocs cette méthode. D'un instant à l'autre, sans avoir absolument rien fait de spécial, boum, toute votre vie bascule... c'est chaud... tout le monde est concerné par le simswp, c'est vraiment une attaque imparable...je pige pas que tous les services importants ne se soient toujours pas mis à la triple auth... mais surtout banque et FAI ! Tchô. ps : allé zou, un abo de plus ^^ ps2 : Leothell = Secureaks je suppose ?
Secureaks - Pentest et cybersécurité
Рет қаралды 1,7 М.
Simon Dieny - Code Senior
Рет қаралды 280 М.
Secureaks - Pentest et cybersécurité
Рет қаралды 1 М.
Trackflaw
Рет қаралды 4,3 М.
Simon Dieny - Code Senior
Рет қаралды 10 М.
LE FILTRE
Рет қаралды 28 М.
Simple&Gratuit
Рет қаралды 8 М.
3 finger handcam gameplay solo vs squad poco x3 pro 60fps 120hz 360hz game turbo SD860 Prosecser 4kr
Gamer Tikam
Рет қаралды 3,3 МЛН