[Sécurité] Vulnérabilité de type CSRF pour changer le password

[PaulSec]

Hello,

Il semblerait que FreshRSS soit vulnérable à une attaque de type CSRF (Cross Site Request Forgery).
En effet, il est possible de créer un formulaire du type:

<form action="hxxps://rss.monflux.fr/i/?c=users&a=auth" id="exploit">
<input type="hidden" name="passwordPlain" value="omgwtfbbq">
<input type="hidden" name="mail_login" value="">
<input type="hidden" name="auth_type" value="form">
<input type="hidden" name="anon_access" value="1">
<input type="hidden" name="token" value="">
</form>

Et de l'auto-soumettre à l'aide de JavaScript.

HTMLFormElement.prototype.submit.call($('#exploit')[0]);

L'attaque se base sur le fait que l'utilisateur est connectée sur FreshRSS & navigue sur le Net en même temps (ou visualise une news qui comprend du code malicieux).
Dès chargement de la page, le mot de passe de l'utilisateur courant est changé.

[Alkarex]

Je pense que le problème est présent pour toutes les actions, pas seulement pour changer le mot de passe.
Il faudrait s'assurer que toutes les actions critiques sont bien en POST, et pour toutes les actions POST, exiger un paramètre secret supplémentaire.

[Alkarex]

Je viens d'ajouter le contrôle du domaine dans l'entête HTTP Referer pour toutes les requêtes POST (hors API) https://github.com/marienfressinaud/FreshRSS/blob/35be1769de28df3fff1a26e40d1d6b1e587a2847/app/FreshRSS.php#L9.
Cela ne suffit pas, mais devrait déjà bien réduire la sévérité du problème, en supprimant bon nombre de possibilités de XSRF.

Si vous en avez la possibilité, merci de vérifier que cela bloque bien votre faille de sécurité initiale (j'ai bien sûr testé de mon côté).

Voilà une capture d'écran qui s'affichera sur l'écran de l'attaqué dans certains cas :

Il faudra rester attentif à ce que cela ne casse pas certaines configurations ésotériques.

[Alkarex]

@marienfressinaud As-tu en tête des actions importantes qui ne sont pas en POST ?

[PaulSec]

Très bien, surtout que c'est une recommandation faite par OWASP

[Alkarex]

Quelqu'un sait-il si des navigateurs implémentent l'entête Origin et si oui, lesquels ?
https://wiki.mozilla.org/Security/Origin

[marienfressinaud]

@PaulSec > merci Paul ! :)

@Alkarex > à priori on a fait attention à ce que toutes les actions importantes passent par des POST… niveau configuration / paramétrage en tout cas. Maintenant il reste les actions comme "marquer comme lu" et "favoris". Si un id n'est pas forcément facile à deviner, il reste la question du bouton "tout marquer comme lu" qui peut être plus problématique pour certains.

[Alkarex]

La conversation pour une meilleure méthode basée sur un token continue dans #570 , et celle sur le HTTP Referer dans #565

[Alkarex]

Après une période où la vérification du HTTP Referer nous a bien servi, je viens de passer à une méthode utilisant un token anti CSRF #1210 afin de pouvoir anonymiser les liens sortants avec <meta name="referrer" content="never" /> #955
@PaulSec Tests de la branche /dev de FreshRSS bienvenus