Load Balancer F5 – Tiny Disclosure
|En bref, voici deux articles de ThаnатøS Пещеру présentant un petit disclosure sympathique sur les Load Balancer F5 :
- Part 1 : Quand le loadbalanceur donne un peu d’infos sur les backends
- Part 2 : Non mais Allow quoi !
Lecture un peu rapide, je suis passé à côté du code source qu’il proposait dans le second billet. Il s’agit d’un petit programme permettant d’automatiser la récupération des cookies un peu trop bavards… Je l’ai donc bêtement reproduit.
Lui l’a fait en Python et moi en Perl. L’exercice n’aura pas été complètement vain, c’est l’occasion parfaite pour inaugurer le GitHub du blog !
A noter tout de même que si vulnérabilité il y a bien, elle ne résulte pas d’une erreur de la part d’F5 ! Le comportement est connue et le chiffrement des cookies est possible ! (sol6917: Overview of BIG-IP persistence cookie encoding)