Slide 1
Slide 1 text
Subdomain takeover
Une faille de sécurité à ne pas ignorer
Julien Cretel
jub0bs.com
@jub0bs
Slide 2
Slide 2 text
Subdomain tako...quoi ?
"prise de contrôle d'un
sous-domaine"
permet à un adversaire
de contrôler le contenu
servi par votre sous-
domaine
https://twitter.com/jub0bs/status/1139927828370210817
Julien Cretel
jub0bs.com
@jub0bs
Slide 3
Slide 3 text
Une faille sournoise
très répandue
relativement méconnue
exploitation aisée
exploitation difficile à détecter
peut faciliter des abus de
mauvaise configuration
impact potentiellement sévère
Julien Cretel
jub0bs.com
@jub0bs
Slide 4
Slide 4 text
Scénario typique
Julien Cretel
jub0bs.com
@jub0bs
Slide 5
Slide 5 text
Scénario typique
VickTeam
Julien Cretel
jub0bs.com
@jub0bs
Slide 6
Slide 6 text
Scénario typique
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 7
Slide 7 text
Scénario typique
vickteam.tiptopapp.com
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 8
Slide 8 text
Scénario typique
tiptop.vickteam.fr vickteam.tiptopapp.com
CNAME
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 9
Slide 9 text
Scénario typique
tiptop.vickteam.fr vickteam.tiptopapp.com
CNAME
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 10
Slide 10 text
Scénario typique
tiptop.vickteam.fr
CNAME
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 11
Slide 11 text
Scénario typique
tiptop.vickteam.fr
CNAME
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 12
Slide 12 text
Scénario typique
tiptop.vickteam.fr
CNAME
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 13
Slide 13 text
Scénario typique
tiptop.vickteam.fr
CNAME
vickteam.tiptopapp.com
VickTeam TipTop
Julien Cretel
jub0bs.com
@jub0bs
Slide 14
Slide 14 text
Impact d'un subdomain
takeover ?
dépend de la relation de confiance que votre domaine
entretient avec ses sous-domaines
dépend de la nature du service tiers utilisé
Julien Cretel
jub0bs.com
@jub0bs
Slide 15
Slide 15 text
Défacement
Julien Cretel
jub0bs.com
@jub0bs
Slide 16
Slide 16 text
Défacement
https://www.grahamcluley.com/hacker-defaces-donald-trump-fundraising-site-via-subdomain-takeover-attack/
Julien Cretel
jub0bs.com
@jub0bs
Slide 17
Slide 17 text
Hameçonnage (phishing)
Julien Cretel
jub0bs.com
@jub0bs
Slide 18
Slide 18 text
Hameçonnage (phishing)
Julien Cretel
jub0bs.com
@jub0bs
Slide 19
Slide 19 text
Distribution de malware
static.vickteam.fr
GET /whatever.js HTTP/2
Host: static.vickteam.com
app.vickteam.fr
Julien Cretel
jub0bs.com
@jub0bs
Slide 20
Slide 20 text
Distribution de malware
static.vickteam.fr
GET /whatever.js HTTP/2
Host: static.vickteam.com
HTTP/2 200 OK
// malicious JS
app.vickteam.fr
Julien Cretel
jub0bs.com
@jub0bs
Slide 21
Slide 21 text
Exploitée en conj. avec des
problèmes
Vol de cookies dont le Domain est .vickteam.fr
CSP trop laxe (*.vickteam.fr) => XSS, clickjacking
CORS trop laxe (*.vickteam.fr) => CSRF
Contournement de protections contre le SSRF
etc...
Julien Cretel
jub0bs.com
@jub0bs
Slide 22
Slide 22 text
Recommendations
1. Prenez le risque en compte dans le design
(dev et ops) de votre système.
2. Auditez vos enregistrements DNS périodiquement.
3. Etudiez les mesures de protection contre le
subdomain takeover chez les services tiers
que vous utilisez.
Julien Cretel
jub0bs.com
@jub0bs
Slide 23
Slide 23 text
Voulez-vous en savoir plus ?
https://labs.detectify.com/2014/10/21/hostile-
subdomain-takeover-using-herokugithubdesk-more/
https://0xpatrik.com/
github.com/EdOverflow/can-i-take-over-xyz
Julien Cretel
jub0bs.com
@jub0bs