Fixation de session par meta refresh

Qu'est-ce que la fixation de session par meta refresh ?#

La fixation par meta refresh exploite la balise HTML <meta http-equiv="refresh"> pour rediriger silencieusement le navigateur de la victime vers une URL de connexion incluant un identifiant de session contrôlé par l'attaquant. Contrairement à la fixation par cookie basée sur XSS, la meta refresh ne nécessite aucune exécution JavaScript. C'est une redirection HTML déclarative — le navigateur la suit automatiquement, sans aucun clic au-delà de la visite initiale de la page.

L'attaque est particulièrement pertinente dans les contextes de sécurité où la CSP protège contre l'exécution de scripts mais pas contre les redirections déclaratives. Une application qui déploie une Content-Security-Policy: default-src 'self'; script-src 'nonce-...' stricte est immune au XSS réfléchi mais entièrement exposée à la fixation par meta refresh si elle affiche du contenu HTML contrôlé par l'utilisateur.

Mécanisme#

La page HTML malveillante hébergée par l'attaquant :

<!DOCTYPE html>
<html>
<head>
  <!-- Délai zéro — la victime voit un flash avant la page de connexion -->
  <meta http-equiv="refresh" content="0;url=https://cible.com/login?PHPSESSID=SID_ATTAQUANT_CHOISI">
  <title>Chargement...</title>
</head>
<body>
  <p>Redirection vers la connexion sécurisée...</p>
</body>
</html>

Il n'y a pas de JavaScript. La balise <meta http-equiv="refresh"> oblige le navigateur à émettre une requête GET vers l'URL cible avec le paramètre de session. Le serveur, s'il accepte les identifiants de session par URL (comportement par défaut de PHP avec session.use_only_cookies = 0), stocke l'identifiant et attend qu'il soit authentifié.

Chaîne de redirection ouverte#

Combinée avec une vulnérabilité de redirection ouverte sur le domaine cible, l'URL d'attaque semble légitime :

https://cible.com/redirect?url=https://attaquant.com/fixation.html

La victime voit une URL commençant par cible.com, clique dessus, est brièvement redirigée vers la page attaquant (la meta redirection se déclenche en quelques millisecondes), et atterrit sur la page de connexion avec l'identifiant fixé.

Variantes d'attaque#

L'injection HTML dans le contenu utilisateur est la variante la plus furtive. Si une application web affiche du HTML fourni par l'utilisateur (éditeurs de texte enrichi avec désinfection insuffisante), un attaquant peut stocker une balise meta refresh dans sa bio de profil ou un commentaire.

<!-- L'attaquant stocke dans la bio de profil (injection HTML) -->
<meta http-equiv="refresh" content="0;url=https://cible.com/login?session=CONNU_ATTAQUANT">
<!-- Quand un admin ou utilisateur voit ce profil, il est redirigé silencieusement -->

Exemples réels#

CVE-2024-38475 — Injection URL Apache httpd mod_rewrite (CVSS 9.1) Apache httpd 2.4.0 à 2.4.59 était vulnérable à l'injection URL via les règles mod_rewrite. Un attaquant pouvait construire des URL faisant rediriger mod_rewrite vers du contenu contrôlé par l'attaquant. Combiné avec la meta refresh, cette vulnérabilité permettait l'injection d'identifiant de session vers toute application derrière l'instance Apache affectée. Corrigé dans httpd 2.4.60.

Redirection ouverte dans redirect_uri OAuth — Pattern HackerOne courant Les redirections ouvertes dans la validation de redirect_uri OAuth sont parmi les vulnérabilités les plus fréquemment signalées sur HackerOne (500 $ à 3 000 $). Combinées avec la meta refresh, une redirection ouverte devient un vecteur de livraison de fixation qui semble provenir du point de terminaison OAuth de confiance.

CVE-2024-47812 — Injection HTML Casdoor (CVSS 8.8) Casdoor avant 1.802.0 présentait plusieurs vulnérabilités dont une désinfection HTML insuffisante dans les champs d'affichage utilisateur. Une meta refresh injectée dans le nom d'affichage d'un utilisateur se déclenchait dans l'interface d'administration, livrant une fixation de session aux sessions administrateur.

Détection#

Test manuel#

1. Créer un fichier HTML de test : <meta http-equiv="refresh" content="0;url=https://cible.com/login?PHPSESSID=TEST_META">. L'ouvrir dans un navigateur — confirmer la navigation automatique.
2. Vérifier si la page de connexion a accepté le paramètre URL : inspecter les cookies via les outils de développement. Si PHPSESSID=TEST_META apparaît, la livraison de session par URL est activée.
3. Tester les surfaces d'injection HTML : soumettre <meta http-equiv="refresh" content="0;url=https://collaborateur.net"> dans des champs HTML contrôlés par l'utilisateur. Vérifier Burp Collaborator pour les callbacks DNS/HTTP.
4. Tester les redirections ouvertes : essayer ?redirect=https://attaquant.com, ?next=//attaquant.com sur tous les paramètres de redirection.

Détection automatisée#

# Tester la livraison de session par paramètre URL
curl -c cookies.txt "https://cible.com/login?PHPSESSID=TEST_META_FIXATION"
grep "PHPSESSID=TEST_META_FIXATION" cookies.txt && echo "VULNÉRABLE : livraison de session par URL activée"
 
# nuclei — détection de redirection ouverte
nuclei -u https://cible.com -t http/misconfiguration/open-redirect.yaml
 
# Vérification des surfaces d'injection HTML
nuclei -u https://cible.com -t http/vulnerabilities/generic/html-injection.yaml

Prévention#

Désactiver la livraison de session par URL#

; PHP — désactiver entièrement la livraison de session par URL
session.use_only_cookies = 1    ; rejeter les identifiants par URL
session.use_strict_mode = 1     ; rejeter les identifiants fournis externalement
session.cookie_samesite = "Lax"

<!-- Java Servlet — mode de suivi COOKIE uniquement (Servlet 3.0+) -->
<web-app>
  <session-config>
    <tracking-mode>COOKIE</tracking-mode>
    <!-- Supprime la prise en charge de la réécriture URL (;jsessionid=) -->
  </session-config>
</web-app>

Régénérer l'identifiant de session#

Même si un identifiant de session livré par URL est accepté, la régénération à la connexion empêche la fixation :

# Rails — reset_session crée un nouvel identifiant même si une fixation a été livrée
def create
  user = User.find_by(email: params[:email])
  if user&.authenticate(params[:password])
    reset_session  # nouvel identifiant de session même si la fixation a été livrée
    session[:user_id] = user.id
    redirect_to dashboard_path
  end
end

# Django — régénération de session à la connexion
from django.contrib.auth import login
from django.contrib.sessions.backends.db import SessionStore
 
def login_view(request):
    user = authenticate(request, username=request.POST['email'], password=request.POST['password'])
    if user:
        # cycle_key() génère un nouvel identifiant tout en préservant les données de session
        request.session.cycle_key()
        login(request, user)
        return redirect('dashboard')

Désinfection du HTML fourni par l'utilisateur#

# Python — equivalent DOMPurify avec bleach
import bleach
 
BALISES_AUTORISEES = ['p', 'b', 'i', 'em', 'strong', 'ul', 'ol', 'li', 'a', 'br']
# Note : 'meta' NE DOIT PAS figurer dans la liste des balises autorisées
 
def desinfection_html(input_utilisateur: str) -> str:
    return bleach.clean(
        input_utilisateur,
        tags=BALISES_AUTORISEES,
        attributes={'a': ['href', 'title']},
        strip=True  # strip, pas escape
    )

// JavaScript côté client — DOMPurify (bloque meta par défaut)
import DOMPurify from 'dompurify';
 
const propre = DOMPurify.sanitize(htmlUtilisateur, { 
    FORBID_TAGS: ['meta', 'link', 'base'] 
});

Ressources#

• Fixation de Session — Vue d'ensemble — taxonomie complète
• OWASP Testing Guide — OTG-SESS-003
• CWE-384 : Session Fixation
• Documentation PHP session_regenerate_id
• OWASP HTML Sanitization Cheat Sheet