IP Spoofing Admin

Le contrôle d'accès basé sur l'IP est un mécanisme de sécurité courant utilisé pour restreindre l'accès aux zones sensibles des applications web, telles que les panneaux d'administration et les outils internes. De nombreuses applications font confiance aux en-têtes HTTP comme X-Forwarded-For, X-Real-IP et X-Originating-IP pour déterminer l'adresse IP d'un client - en particulier lorsqu'elles fonctionnent derrière des proxys inverses ou des répartiteurs de charge. Lorsque ces en-têtes ne sont pas correctement validés, les attaquants peuvent usurper leur adresse IP apparente pour contourner les restrictions d'accès.

Comment fonctionne le contrôle d'accès basé sur l'IP

Les applications web restreignent souvent les fonctionnalités administratives aux requêtes provenant d'adresses IP spécifiques, généralement des plages de réseau internes comme 127.0.0.1, 10.x.x.x ou 192.168.x.x. Lorsque l'application se trouve derrière un proxy inverse, elle ne peut pas voir directement l'adresse IP réelle du client - elle s'appuie plutôt sur des en-têtes définis par le proxy pour transmettre cette information. L'en-tête X-Forwarded-For est le mécanisme le plus courant, conçu pour transporter l'IP originale du client à travers une chaîne de proxys.

La vulnérabilité d'usurpation d'IP

La vulnérabilité survient lorsque les applications font confiance aux en-têtes indiquant l'IP sans vérifier qu'ils ont été réellement définis par un proxy légitime. Si l'application lit X-Forwarded-For directement depuis la requête entrante sans le supprimer ou le remplacer au niveau du réseau, n'importe quel client peut injecter une adresse IP arbitraire en définissant cet en-tête lui-même. Cela permet effectivement aux attaquants d'usurper l'identité de systèmes internes et de contourner entièrement les restrictions basées sur l'IP.

Scénarios d'attaque courants

Les panneaux d'administration restreints à l'accès localhost sont parmi les cibles les plus fréquentes. Les attaquants ajoutent X-Forwarded-For: 127.0.0.1 à leurs requêtes et obtiennent l'accès aux fonctionnalités administratives. Les endpoints d'API internes protégés par une liste blanche d'IP peuvent être accédés en usurpant des adresses de réseau internes. Les systèmes de limitation de débit qui suivent les IP via les en-têtes de transfert peuvent être contournés en faisant tourner les adresses usurpées. Ces scénarios sont régulièrement découverts lors d'évaluations de sécurité et de programmes de bug bounty.

Détection et prévention

Les applications sécurisées configurent leur proxy inverse ou répartiteur de charge pour écraser (et non ajouter aux) les en-têtes indiquant l'IP, garantissant que les valeurs fournies par le client sont rejetées. Les applications ne devraient faire confiance à ces en-têtes que lorsqu'ils proviennent d'adresses proxy connues. La défense en profondeur nécessite de combiner les restrictions basées sur l'IP avec des mécanismes d'authentification appropriés plutôt que de s'appuyer uniquement sur des contrôles au niveau du réseau. Comprendre les techniques d'usurpation d'IP est essentiel pour les testeurs d'intrusion évaluant les implémentations de contrôle d'accès.