2011/1/24 Nicolas Steinmetz nsteinmetz@gmail.com:
Hello, Pour faire plaisir à mon cher RSSI, je voudrais valider le comportement d'une application vis à vis des flux RSS qu'elle consulte. La récupération du flux est faite par le serveur et non au niveau du client. Mon RSSI ne souhaitant pas par défaut autoriser l'accès internet à ce serveur, je dois avancer sur la capacité de la solution à ne pas être comprise si par hasard un utilisateur mettrait un flux RSS malveillant... Existe-t-il des ressources de ce type sur internet ? Le but étant de pouvoir déposer ses flux RSS sur un de nos serveurs en interne et tester l'appli en mode "isolé". Si vous avez la même chose pour des gadgets opensocial, je suis aussi preneur. S'il s'avère que l'appli nettoie suffisamment le code qu'elle injecte, je pourrais peut être faire réévaluer cet accès internet. Sinon ce sera tant pis pour les utilisateurs. Merci d'avance, Nicolas
-- Nicolas Steinmetz http://www.steinmetz.fr - http://nicolas.steinmetz.fr/
Salut, Je pense que la question est mal posée. Tu trouveras des exploits pour tous les programmes qu'il y a un intérêt à hacker, et même pour ceux qui ne présentent pas particulièrement d'intérêt. Compte tenu qu'on peut considérer qu'il existe des failles dans tous les programmes (quasi un axiome, même si DJB s'est démené pour essayer de prouver le contraire , mais on est pas vendredi :p), si ton serveur exécute un programme pour récupérer des RSS, des MP3, ou peu importe, il existera un jour ou l'autre des exploits pour poutrer ton programme.
Sans nous dire quelle application tu comptes utiliser, sans nous donner la version, et sous réserve qu'il y ait des spécialistes en sécurité applicative ici qui comptent y passer du temps, ta seule piste, c'est le history record de l'application que tu comptes utiliser, et éventuellement un fuzzer, parce que chaque application est différente, chaque compilation peut être différente, et donc chacun exploit doit être différent.
Autrement dit, si ta question est bien "Il y a t il des RSS malveillants "in the wild" ?", je répondrai : "s'il n'y en a pas encore, il y en aura s'il y a un gain quelconque à avoir (qui peut n'avoir rien à voir avec ta société, comme l'envie de se faire de la publicité pour un étudiant)."
Autrement dit, je pense que ton RSSI pourrait bien t'avoir servi une réponse du genre "va te faire voir" déguisée, à moins qu'il ait vraiment le budget pour faire faire une analyse du logiciel en question par des experts :)
Amicalement, Florian MAURY