XSS-FP: Browser Fingerprinting using HTML Parser Quirks

There are many scenarios in which inferring the type of a client browser is desirable, for instance to fight against session stealing. This is known as browser fingerprinting. This paper presents and evaluates a novel fingerprinting technique to determine the exact nature (browser type and version, eg Firefox 15) of a web-browser, exploiting HTML parser quirks exercised through XSS. Our experiments show that the exact version of a web browser can be determined with 71% of accuracy, and that only 6 tests are sufficient to quickly determine the exact family a web browser belongs to

Une étude empirique de l'impact de l'évolution des navigateurs sur la sécurité et la vie privée

Web success is associated with the expansion of web interfaces in software. They have replaced many thick-clients and command-line interfaces. HTML is now a widely adopted generic user-interface description language. The cloud-computing trend set browsers in a central position, handling all our personal and professional information. Online banking and e-commerce are the sources of an attractive cash flow for online thefts, and all this personal information is sold on black markets. Unsurprisingly, web browsers are consequently the favorite targets of online attacks. The fierce competition between browser vendors is associated with a features race, leading to partial implementation of W3C norms, and non-standard features. It resulted in a fast release pace of new browser versions over these last years. While positively perceived by users, such competition can have a negative impact on browser security and user privacy. This increasing number of features and the discrepancies between browser vendors' implementations facilitate the attacker task for cross site scripting (XSS) and drive-by download attacks. Through this thesis, we propose to adopt the attacker's viewpoint. We will test and analyze the browsers' engines as black-boxes, like hackers using the latest browsers' evolutions to evade current detection techniques or bypass protections. Coming to the overall objectives of a research leading to the better understandings of browser's role in security, this thesis provides an instrument to understand XSS attack vectors, categorize them, evaluate the exposure of web browsers against XSS and may eventually open the field, but this is beyond the scope of this thesis, to a new strategy to detect future client-side attacks, however this last point is beyond the scope of this thesis.L'explosion du web a profondément modifié notre façon d'interagir avec les logiciels. Des applications en ligne de commande à la bureautique, tous nos outils se sont transformés en applications web accessibles partout depuis n'importe quel navigateur. Le langage HTML est devenu de-facto le langage universel de description d'interfaces graphiques. L'essor du cloud place le navigateur au centre de nos interactions avec l'informatique moderne. Notre vie numérique, qu'elle soit personnelle ou professionnelle se retrouve centralisée dans cette unique porte d'accès au monde numérique. Le succès du e-commerce et de la gestion de nos comptes bancaires en ligne a attiré la convoitise d'une flopée d'escrocs et de pirates. Même nos informations personnelles se monnayent sur le marché noir. Il n'est donc pas étonnant que les navigateurs web soient la cible numéro un des attaques en ligne. Lorsque la compétition fait rage entre éditeurs de navigateurs, la surenchère aux fonctionnalités n'est pas loin. Avec un impact négatif quant à la qualité du développement. Fonctions non documentées, non standardisées ou bien implémentations bâclées des normes du W3C sont les conséquences directes de cette guerre que les éditeurs de navigateurs se livrent à coup de nouvelles versions. L'utilisateur perçoit souvent la nouveauté comme quelque chose de positif, mais il n'est pas expert et, en ce sens, ne perçoit pas forcément l'impact négatif que peut avoir une telle compétition sur sa sécurité ou sa vie privée. Ces fonctionnalités toujours plus nombreuses et les divergences de comportement entre navigateurs sont un terreau fertile pour les attaques par cross site scripting (XSS) et par drive-by download. Nous proposons au fil de cette thèse un changement de perspective en imaginant un attaquant s'appuyant sur l'évolution des navigateurs pour échapper aux techniques de détections actuelles. Quant aux objectifs de recherche de cette thèse ; il s'agit d'améliorer la compréhension du rôle joué par le navigateur dans la sécurité. Cette thèse fournit donc l'outillage nécessaire pour comprendre et évaluer l'impact réel de vecteurs de XSS sur les navigateurs. Cette compréhension ouvre la porte vers une nouvelle stratégie de détection des attaques visant les navigateurs. Une stratégie capable de prendre en compte les évolutions futures de ces attaques

An Empirical Study of Browsers' Evolution Impact on Security and Privacy

Web success is associated with the expansion of web interfaces in software. They have replaced many thick-clients and command-line interfaces. HTML is now a widely adopted generic user-interface description language. The cloud-computing trend set browsers in a central position, handling all our personal and professional information. Online banking and e-commerce are the sources of an attractive cash flow for online thefts, and all this personal information is sold on black markets. Unsurprisingly, web browsers are consequently the favorite targets of online attacks. The fierce competition between browser vendors is associated with a features race, leading to partial implementation of W3C norms, and non-standard features. It resulted in a fast release pace of new browser versions over these last years. While positively perceived by users, such competition can have a negative impact on browser security and user privacy. This increasing number of features and the discrepancies between browser vendors' implementations facilitate the attacker task for cross site scripting(XSS) and drive-by download attacks. Coming to the overall objectives of a research leading to the better understandings of browser's role in security, this thesis provides an instrument to understand XSS attack vectors, categorize them, evaluate the exposure of web browsers against XSS and may eventually open the field, but this is beyond the scope of this thesis, to a new strategy to detect future client-side attacks, however this last point is beyond the scope of this thesis

Navigateurs & Sécurité

International audienceLes attaquants font de plus en plus usage de langages dyna- miques pour initier leurs attaques. Dans le cadre d'attaques de type "point d'eau" où un lien vers site web piégé est envoyé à une victime, ou lorsqu'une application web est compromise pour y héberger un "ex- ploit kit", les attaquants emploient souvent du code JavaScript fortement obfusqué. Ces codes sont rendus adhérents au navigateur par diverses techniques a n d'en bloquer l'exécution au sein de sandbox anti-virales. Notre présentation s'attachera à expliquer brièvement l'origine de ces techniques, et comment transformer un navigateur web "du commerce" en sandbox d'analyse JavaScript capable de déjouer certaines de ces ob- fuscations et de faciliter notre travail d'analyse

Navigateurs & Sécurité

International audienceLes attaquants font de plus en plus usage de langages dyna- miques pour initier leurs attaques. Dans le cadre d'attaques de type "point d'eau" où un lien vers site web piégé est envoyé à une victime, ou lorsqu'une application web est compromise pour y héberger un "ex- ploit kit", les attaquants emploient souvent du code JavaScript fortement obfusqué. Ces codes sont rendus adhérents au navigateur par diverses techniques a n d'en bloquer l'exécution au sein de sandbox anti-virales. Notre présentation s'attachera à expliquer brièvement l'origine de ces techniques, et comment transformer un navigateur web "du commerce" en sandbox d'analyse JavaScript capable de déjouer certaines de ces ob- fuscations et de faciliter notre travail d'analyse

Empirical Investigation of the Web Browser Attack Surface under Cross-Site Scripting: an Urgent Need for Systematic Security Regression Testing

One of the major threats against web applications is Cross-Site Scripting (XSS). The final target of XSS attacks is the client running a particular web browser. During this last decade, several competing web browsers (IE, Netscape, Chrome, Firefox) have evolved to support new features. In this paper, we explore whether the evolution of web browsers is done using systematic security regression testing. Beginning with an analysis of their current exposure degree to XSS, we extend the empirical study to a decade of most popular web browser versions. We use XSS attack vectors as unit test cases and we propose a new method supported by a tool to address this XSS vector testing issue. The analysis on a decade releases of most popular web browsers including mobile ones shows an urgent need of XSS regression testing. We advocate the use of a shared security testing benchmark as a good practice and propose a first set of publicly available XSS vectors as a basis to ensure that security is not sacrificed when a new version is delivered

Tailored Shielding and Bypass Testing of Web Applications

International audienceUser input validation is a technique to counter attacks on web applications. In typical client-server architectures, this validation is performed on the client side. This is inefficient because hackers bypass these checks and directly send malicious data to the server. User input validation thus has to be duplicated from the client-side (HTML pages) to the server-side (PHP or JSP etc.). We present a black-box approach for shielding and testing web application against bypass attacks. We automatically analyze HTML pages in order to extract all the constraints on user inputs in addition to the JavaScript validation code. Then, we leverage these constraints for an automated synthesis of a shield, a reverse-proxy tool that protects the server side. The originality and main contribution of this paper is to offer a solution specifically tailored to the web application, through a preliminary learning/analysis step. An experimental study on several open-source webapplications evaluates the effectiveness of the protection tool and the different flaws detected by the testing too and the impact of the shield on performance

Fingerprinting de Navigateurs

National audienceDe nombreuses techniques servent à l'identification d'un navigateur. Généralement le serveur web se base sur le champ User-Agent (UA) présent dans les en-têtes des requêtes HTTP. En cas de doute sur son authenticité, il est possible de retrouver cette information à partir de l'observation des spécificités de comportement du navigateur au niveau réseau, HTML, DOM, JavaScript ou CSS. Les usages réels de ces spécificités de comportement se limitent essentiellement à l'évasion de filtres anti-XSS et à l'identification du type de navigateur lors d'attaques par Drive by download. Nous présenterons les techniques actuelles d'identification de navigateur web et leurs limites. Nous vous proposerons ensuite une nouvelle technique de prise d'empreinte axée sur l'identification du moteur HTML et son couplage avec un moteur JavaScript donné. L'étude de ces techniques permet de déjouer les mécanismes de détection mis en place par les Exploit Kits dans le cadre de la lutte contre les botnets

Mise en évidence de chemins d'attaque furtifs en environement Windows avec AWARE

International audienceWhen an attacker targets a system, he aims to remain undetected as long as possible. He must therefore avoid performing actions that are characteristic of an identified malicious behavior. One way to avoid detection is to only perform actions on the system that appear legitimate. That is, actions that are allowed because of the system configuration or actions that are possible by diverting the use of legitimate services. This article presents and experiments AWARE (Attacks in Windows Architectures REvealed), a defensive tool able to query a Windows system and build a directed graph highlighting possible stealthily attack paths that an attacker could use during the propagation phase of an attack campaign. These attack paths only rely on legitimate system actions and the use of Living-Off-The-Land binaries. AWARE also proposes a range of corrective measures to prevent these attack paths.Lorsqu'un attaquant cible un système, son objectif est de rester indétecté le plus longtemps possible. Il doit donc éviter d'effectuer des actions caractéristiques d'un comportement malveillant identifié. Une façon d'éviter la détection est de n'effectuer que des actions sur le système qui semblent légitimes. C'est-à-dire des actions autorisées en raison de la configuration du système ou des actions possibles en détournant l'utilisation de services légitimes. Cet article présente et expérimente AWARE (Attacks in Windows Architectures REvealed), un outil défensif capable d'interroger un système Windows et de construire un graphe dirigé mettant en évidence les chemins d'attaque furtifs possibles qu'un attaquant pourrait utiliser lors de la phase de propagation d'une campagne d'attaque. Ces chemins d'attaque reposent uniquement sur des actions système légitimes et l'utilisation de binaires Living-Off-The-Land. AWARE propose également une gamme de mesures correctives pour prévenir ces chemins d'attaque

Mise en évidence de chemins d'attaque furtifs en environement Windows avec AWARE

International audienceWhen an attacker targets a system, he aims to remain undetected as long as possible. He must therefore avoid performing actions that are characteristic of an identified malicious behavior. One way to avoid detection is to only perform actions on the system that appear legitimate. That is, actions that are allowed because of the system configuration or actions that are possible by diverting the use of legitimate services. This article presents and experiments AWARE (Attacks in Windows Architectures REvealed), a defensive tool able to query a Windows system and build a directed graph highlighting possible stealthily attack paths that an attacker could use during the propagation phase of an attack campaign. These attack paths only rely on legitimate system actions and the use of Living-Off-The-Land binaries. AWARE also proposes a range of corrective measures to prevent these attack paths.Lorsqu'un attaquant cible un système, son objectif est de rester indétecté le plus longtemps possible. Il doit donc éviter d'effectuer des actions caractéristiques d'un comportement malveillant identifié. Une façon d'éviter la détection est de n'effectuer que des actions sur le système qui semblent légitimes. C'est-à-dire des actions autorisées en raison de la configuration du système ou des actions possibles en détournant l'utilisation de services légitimes. Cet article présente et expérimente AWARE (Attacks in Windows Architectures REvealed), un outil défensif capable d'interroger un système Windows et de construire un graphe dirigé mettant en évidence les chemins d'attaque furtifs possibles qu'un attaquant pourrait utiliser lors de la phase de propagation d'une campagne d'attaque. Ces chemins d'attaque reposent uniquement sur des actions système légitimes et l'utilisation de binaires Living-Off-The-Land. AWARE propose également une gamme de mesures correctives pour prévenir ces chemins d'attaque