✍🏻 Plongée dans les CSP

Plongée dans les CSP

BreizhCamp - 9ème édition - Laurent Brunet - 21 mars 2019

Laurent BRUNET

Je suis développeur (PHP, Symfony, JavaScript, React, ...)
Je travaille chez - Paris

@lbrunet_com

CSP, c'est quoi ?

CSP Content Security Policy

C'est une couche de sécurité supplémentaire qui permet de détecter et d'atténuer certains types d'attaques, notamment les attaques XSS (Cross Site Scripting) et les attaques par injection de données.

Ces attaques peuvent être utilisées dans divers buts, comme le vol de données, le défacement de site ou la diffusion de malware.

Aujourd'hui, CSP est l’une des contre-mesures les plus prometteuses contre XSS.

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

Plusieurs niveaux 1/2

2012: CSP niveau 1 - La recommandation du W3C a été publiée. https://www.w3.org/TR/CSP1/

Plusieurs niveaux 2/2

2015: CSP niveau 2 - La recommandation du W3C a été publiée. https://www.w3.org/TR/CSP2/

2016: CSP niveau 3 - La version de travail du W3C est toujours en cours d'écriture. https://www.w3.org/TR/CSP/

Comment activer les CSP 1/2 ?

Grâce à une en-tête HTTP Content-Security-Policy

Nous avons plusieurs manières de le faire :

PHP
Nginx
Apache
balise Meta
...

⚠️ Pour le mode Meta, on ne peut pas utiliser la directive frame-ancestors, report-uri, ou sandbox.

Comment activer les CSP 2/2 ?

Content-Security-Policy: <policy-directive> ; <policy-directive>

PHP

header("Content-Security-Policy: default-src 'self' https://domain.com https://*.domain.com; script-src 'self'…", true);

Nginx

add_header "Content-Security-Policy" "default-src 'none'; form-action 'none'; frame-ancestors 'none';"

Apache

Header set Content-Security-Policy "default-src 'none'; form-action 'none'; frame-ancestors 'none';"

Content Security Policy level 1

CSP Niveau 1

script-src Directive dédiée aux JavaScript
style-src Directive dédiée aux styles
img-src Directive dédiée aux images
connect-src Directive dédiée à l’établissement de connexions depuis un objet XMLHttpRequest ou une WebSocket
font-src Directive dédiée aux polices
object-src Directive dédiée aux plugins (éléments object, embed, ou applet)
media-src Directive dédiée aux éléments audio et video
default-src Règle pour les éléments non spécifiés

⚠️ Entre la directive default-src et les autres directives *-src, il n'y a pas d'héritage.

Content Security Policy level 2

CSP Niveau 2

child-src Directive dédiée aux sources valides pour les web workers et les éléments comme frame et iframe
form-action Directive dédiée aux sources autorisées à utiliser l’attribut action d’un formulaire
frame-ancestors Directive dédiée aux éléments frame, iframe , object , embed ou applet
base-uri Directive dédiée aux sources valides pour l’élément base qui indique l’adresse à utiliser pour recomposer toutes les adresses relatives contenues dans la page

🤘 Utilisation des nonces ou des hashes sur les scripts ou styles.

Toutes les directives prennent en charge des valeurs similaires. Chaque valeur sera séparée par un espace, à l'exception de none qui devrait être la seule valeur définie.

*
none
self
data:
https:
*.lbrunet.com
unsafe-inline
unsafe-eval
report-sample
nonce-XXX
sha256-XXX / sha384-XXX / sha512-XXX

Démonstration

Exemple

            content-security-policy:
              default-src 'none' ; 
              style-src 'self' https://example.com 'report-sample' ; 
              script-src 'self' 'report-sample' 
              base-uri 'self' ;
              object-src 'none' ;
              img-src 'self' www.google.com data: ;

Violation avec Firefox

Violation avec Google Chrome

Mes scripts ou styles inline ?

Nonces et Hashes

nonces et hashes autorisent le développeur à annoter explicitement chaque script approuvé (en ligne et externe), tout en empêchant l'exécution des scripts injectés par une tierce personne.

            content-security-policy:
              style-src  'self' 'https://example.com' 'report-sample'; 
              script-src 'self' 'nonce-rfOHm1spSuNZWnfsKipedA=='
             'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng='
             'report-sample';
            
              object-src 'none';

Nonces

Nonce : Number used Once (« numéro utilisé une seule fois »). Encore une fois, cela se définit dans les directives :

Directive

script-src 'nonce-rfOHm1spSuNZWnfsKipedA==' ;

HTML

<script nonce="rfOHm1spSuNZWnfsKipedA==">…</script>

Cela revient à dire au navigateur de ne rien bloquer pour ce qui correspond à ce nonce.

⚠️ Un nonce doit être unique, re-généré à chaque fois, et bien entendu secret !
(Variable d'environnement par exemple)

Hashes

Directive

script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=' ;

HTML

<script>alert('Hello, world.');</script>

Similaire à nonce sur la directive, mais rien n'est spécifié au niveau de la balise script.

Exemple en PHP : echo base64_encode(hash('sha256', "alert('Hello, world.');", true));

⚠️ Le moindre espace change le hash !

Nonces ou Hashes ?

Hashes

Si le script est statique (le contenu ne change pas), vous pouvez ajouter un hachage SHA-256 du script à la directive CSP afin que le script soit ajouté à la liste blanche.

Nonce

Cependant, si le script est sujet à modification, vous avez la possibilité d'ajouter un nonce codé en base64 (valeur aléatoire) à la fois à la directive CSP et à la balise de script.

Démonstration

Reporting

Reporting

Une directive CSP est conçue pour bloquer le contenu qui n’a pas été explicitement inscrit sur la liste blanche, par un nom d’hôte, un nonce ou un hashage.

La directive report-uri va nous aider à enregistrer les rapports en violation selon notre liste blanche définie.

Nginx

add_header Content-Security-Policy "default-src 'none'; style-src 'self'; script-src 'self'; report-uri /reporting https://website.report-uri.com/r/d/csp/enforce";

META Content-Security-Policy (pas de report-uri)

~~<meta http-equiv="Content-Security-Policy" content="default-src 'none'; style-src 'self'; script-src 'self'; ";~~

Reporting (only)

La mise en place de CSP peut se faire de manière progressive depuis CSP2 avec l'en-tête HTTP Content-Security-Policy-Report-Only

L'approche est exactement la même que Content-Security-Policy avec l'avantage de ne pas bloquer les ressources côté navigateur 🤘

Avec Report-Only et report-uri vous pouvez tester des directives sans danger, reçevoir par mail, stocker en base de données, faire des stats de chaque violation, c'est rapide à mettre en place.

⚠️ Vous pouvez cumuler Content-Security-Policy et Content-Security-Policy-Report-Only avec leur propre report-uri 👏 👏 👏

Exemple

                "csp-report":{
                    "document-uri":"https://lbrunet.com/",
                    "referrer":"",
                    "violated-directive":"style-src-attr",
                    "effective-directive":"style-src-attr",
                    "original-policy":"default-src 'none'; img-src 'self'; style-src 'sha256-NfNzdSi31sG2cZuYD32kQkSqP/Ypsm8oUJfRqJWiauU=' 'self' 'report-sample'; object-src 'none'; script-src 'self' 'sha256-SOSPqWdDqDk3oeJJaRHm+RnKO5mWB8WP4683xY5G0cA=' 'nonce-KTDCTrMVDOSoPFV5fDJJUtgFD1nC3Kk3' https://code.jquery.com 'report-sample'; form-action 'self'; frame-ancestors 'none'; base-uri 'self'; font-src 'self'; report-uri https://9241978986399846732a.report-uri.com/r/d/csp/enforce /csp-reports",
                    "disposition":"enforce", // reporting  
                    "blocked-uri":"inline",
                    "line-number":70,
                    "source-file":"https://lbrunet.com/",
                    "status-code":200,
                    "script-sample":"color: #1db954"
                }

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy-Report-Only#Violation_report_syntax

Outils de reporting 1/2

https://www.uriports.com/

Outils de reporting 2/2

https://report-uri.com

Content Security Policy level 3

CSP Niveau 3

manifest-src a été ajouté
worker-src a été ajouté
report-uri est déconseillé au profit de report-to
'self' correspond maintenant à https: et wss:, même sur les pages dont le schéma est http.
script-dynamic uniquement pour les directives script-src et default-src
Quand un script/style ou une eval en ligne est bloqué, bloque-uri renvoie maintenant inline ou eval.
navigate-to les liens, window.location.href, balises Meta refresh, ... Des informations sur l'orientation de cette directive
'unsafe-hashed-attributes' 'unsafe-hashes' Permet d'activer des gestionnaires JS en ligne spécifiques avec un hachage. Des informations sur l'orientation de cette directive

Sécurité du CSP en général 1/3

CSP est mort, vive le CSP !
Sur l'insécurité des listes blanches et l'avenir de la politique de sécurité du contenu.

Google

https://ai.google/research/pubs/pub45542

Sécurité du CSP en général 2/3

En 2016, Google publie un article sur les statistiques et les conseils pour améliorer les statégies CSP avec la mise en place de script-dynamic

Parmi les stratégies de protection XSS :

87,63% ont utilisé le mot-clé unsafe-inline sans spécifier de nonce ou de hash, ce qui désactive essentiellement les capacités de protection CSP
9,4% des politiques ne contiennent ni la directive default-src ni la directive object-src ainsi, les attaquants peuvent exploiter une vulnérabilité XSS en injectant un objet Flash malveillant capable d'exécuter JavaScript.

https://ai.google/research/pubs/pub45542

Sécurité du CSP en général 3/3

            script-src 'self' https://example.org;
            object-src 'none';
            <script src="//example.org/script.js"></script>

L'attaquant pourrait abuser du point de terminaison JSONP en injectant un script avec l'URL suivante : <script src=”https://example.org/jsonp?callback=alert (1); //”></ script>

            <script 
              nonce="rfOHm1spSuNZWnfsKipedA=="
              src="//example.org/script.js">
            </script>

Mode CSP strict 1/3

Pour mettre en place une stratégie CSP strict, il faudra:

Ajouter l'attribut nonce à tous les <script>
Pour chaque chargement de la page, générer un nouveau nonce
Pour le code statique, vous pouvez utiliser sha256 sha385 sha512
Revoir tout balisage des gestionnaires d'événements en ligne onClick

Mode CSP strict 2/3

Liste blanche

                Content-Security-Policy
                  script-src 'self' *.pinterest.com *.pinimg.com *.google.com connect.facebook.net 
             *.google-analytics.com *.accountkit.com *.facebook.com *.googletagmanager.com *.bnc.lt
             *.branch.io *.yozio.com cdn.ampproject.org *.cdn.ampproject.org radar.cedexis.com
             static.zdassets.com ekr.zdassets.com *.zopim.com *.zopim.org *.zopim.io

Mode strict

                Content-Security-Policy
                  script-src 'sha256-Shc9zyGHe0eDIj8DYmcqZpX2gGW1wFcjo+6iwlq/WaQ='
             'strict-dynamic' 'unsafe-inline' https:
             'nonce-rfOHm1spSuNZWnfsKipedA==';

La valeur strict-dynamic permet l'exécution de scripts ajoutés dynamiquement à la page, à condition qu'ils aient été chargés par un script sûr et déjà sécurisé

Démonstration

Mode CSP strict 3/3

                script-src 'nonce-r4nd0m' 'strict-dynamic' 'unsafe-inline' https:;
                object-src 'none'; base-uri 'none';

CSP3 avec support strict-dynamic Chrome 52+ - Firefox 52+

                script-src 'nonce-r4nd0m' 'strict-dynamic' 'unsafe-inline' https:;
                object-src 'none'; base-uri 'none';

CSP2 avec support nonce

                script-src 'nonce-r4nd0m' 'strict-dynamic' 'unsafe-inline' https:;
                object-src 'none'; base-uri 'none';

CSP1 pas de support nonce

                script-src 'nonce-r4nd0m' 'strict-dynamic' 'unsafe-inline' https:;
                object-src 'none'; base-uri 'none';

Récapitulatif

mode liste blanche ou strict-dynamic selon votre besoin
default-src 'none'; object-src 'none'; base-uri 'self'; minimum
Utilisation de nonces ou hashes sur les scripts / styles
Utiliser le reporting avec report-uri
Utiliser Content-Security-Policy-Report-Only
Faire valider vos directives

Merci 👏

Twitter @lbrunet_com

Github https://github.com/lbrunet

Site https://lbrunet.com

https://csp.withgoogle.com/docs/index.html
https://www.tollmanz.com/content-security-policy-report-samples/
https://developers.google.com/web/fundamentals/security/csp/
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
https://content-security-policy.com/
https://scotthelme.co.uk/
https://www.w3.org/TR/CSP3/
https://githubengineering.com/githubs-csp-journey/
https://appio.dev/vulns/google-csp-evaluator/
https://medium.com/@mazin.ahmed/bypassing-csp-by-abusing-jsonp-endpoints-47cf453624d5