Information Disclosure

Account Takeover via fonctionnalité de tracing ASP.net active

La vulnérabilité a été découverte sur un sous-domaine d'un spécialiste du recrutement européen. Suite à un peut de fuzzing, j'ai tout simplement découvert que l'option de tracing ASP.net était activé sur le site.

Description

Le traçage ASP.NET est une fonctionnalité de débogage conçue pour être utilisée pendant le développement afin de faciliter la résolution des problèmes. Il divulgue des informations sensibles aux utilisateurs et, s'il est activé dans des contextes de production, il peut présenter une menace sérieuse pour la sécurité.

Le traçage au niveau de l'application permet à tout utilisateur de récupérer tous les détails sur les demandes récentes adressées à l'application, y compris celles des autres utilisateurs. Ces informations incluent généralement des jetons de session et des paramètres de requête (en texte clair), qui peuvent permettre à un attaquant de compromettre d'autres utilisateurs et même de prendre le contrôle de l'ensemble de l'application.

Le traçage au niveau de la page renvoie les mêmes informations, mais relatives uniquement à la requête en cours. Celui-ci peut toujours contenir des données sensibles dans les variables de session et de serveur qui pourraient être utiles à un attaquant.

Endpoint: /trace.axd

Exploitation

L'application utilse un formulaire de connexion (/logon.aspx).

Il est donc possible de récupérer les identifiants des utilisateurs qui s'y connectent via cette fonctionnalité qui log les paramètres HTTP envoyés en clair.

Risques

• ATO

• Surveillance non autorisée des utilisateurs

• Fuites d'informations sensibles

• Compromission du serveur