[PDF] Attaques du web par une campagne de spam

View - Download Attaques du web

Previous PDF

Next PDF

TELECOM Lille Ȃ Option SRS 2009

Fabien VINCENT

ƒDéfinir le web / service web

ƒAttaques du web

ƒUtilisateur / Navigateur web

ƒAttaques protocolaires

ƒAttaques sur le serveur web

ƒA--ƒ“—‡• •—" Žǯƒ""Ž‹...ƒ-‹‘ ™‡"

ƒAttaques sur la base de données

ƒConclusion

ƒDémos (Samurai)

20/10/2009 2 Attaques du web - Option SRS 2009 - TELECOM Lille1

ƒWeb 2.0 : Applications " Web social »

ƒApplication Web : Site web dynamique, interface homme machine (IHM) ƒServeur Web : logiciel servant à des clients des contenus HTTP ƒNavigateur Web : logiciel client pour consulter et rendre du contenu HTTP

ƒProgrammation Web :

ƒClient : HTML / xHTML, XML, Flash, Images, Java, ActiveX, JavaScript ƒServeur : PHP, Microsoft ASP, Java JSP / Servlets, Coldfusionǡ A

A8Ȁ82 ǥ

20/10/2009 3 Attaques du web - Option SRS 2009 - TELECOM Lille1

Le web est avant tout un service utilisateur rendu par plusieurs composantes :

Client

ȈNavigateur web

ȈAffichage /

lecture de contenu multimédia (HTML, Flash,

Javascript, Java,

A...-‹˜‡8ǥȌ

ȈAuthentification

Protocoles

ȈPermet de lier

réponses et requêtes

ȈHTTP (clair)

ȈHTTPS

ȈAutres

ȈDNS

ȈProxies

ȈExtensions

HTTP

Serveur Web

ȈLogiciel

ȈServir la requête

ȈApache

ȈIIS

ȈNginx

ȈLighttpd

ȈTomcat

Application

Web

ȈLogiciel spécialisé

ȈApplication

" métier »

ȈPrésentation du

contenu

ȈProgrammation

ȈPHP / ASP

ȈJSP / JAVA

ȈPerl / C++

Base de

données

ȈStocker le

contenu

ȈMySQL

ȈPostgreSQL

ȈOracle

ȈSAP

20/10/2009 4 Attaques du web - Option SRS 2009 - TELECOM Lille1

Chaque composante de ce service est potentiellement vulnérable ou faillible !

Client

ȈLien vers site

malveillant

ȈXSS - Cross Site

Scripting

ȈXSRF - Cross Site

Request Forgery

ȈClickjacking

ȈVulnérabilités

navigateur

ȈSSLStripping

ȈDéni de service

(navigateur)

Protocoles

ȈVol de trafic

ȈMan-in-the-

middle

ȈDNS Rebinding

ȈDéni de service

(TCP)

Serveur Web

ȈMauvaise

configuration

ȈDirectory Traversal

ȈVulnérabilité

logicielle

ȈDéni de service

(Service)

Application

Web

ȈVol de données

(DLP)

ȈFile Inclusion

ȈRemote Code

Execution

ȈBackdoors

ȈInformation

Disclosure

ȈDéni de service

(programmatique)

Base de

données

ȈInjections SQL

20/10/2009 5 Attaques du web - Option SRS 2009 - TELECOM Lille1

A""Ž‹...ƒ-‹‘ ȋ‘‰‹...‹‡Ž †ǯ‹-‡"ƒ...-‹‘ ƒ˜‡... Žǯ—-‹Ž‹•ƒ-‡—"Ȍ

0"±•‡-ƒ-‹‘ ȋ

Sessions (Sessions Applicatives)

Transport (TCP / UDP)

Réseau (Réseaux IP)

Physique (Cuivre, Optique, Wi-Fi ǥȌ

7 - Application

6 - Présentation

5 - Sessions

4 - Transport

3 - Réseau

2 - Liaison de Données

1 - Physique

20/10/2009 6 Attaques du web - Option SRS 2009 - TELECOM Lille1

Application

Transport

Internet

Hôte Réseau

A""Ž‹...ƒ-‹‘ ȋ‘‰‹...‹‡Ž †ǯ‹-‡"ƒ...-‹‘ ƒ˜‡... Žǯ—-‹Ž‹•ƒ-‡—"Ȍ

Transport (TCP / UDP)

Internet (Réseaux IP)

20/10/2009 7 Attaques du web - Option SRS 2009 - TELECOM Lille1

niveaux 4 (TCP / Transport) et 7 (Applications). ƒQuelques notions de programmation (HTML, PHP, Javascript ǥȌ ƒLa présentation ne détaillera pas spécifiquement une attaque, uniquement des vecteurs ƒAttaque : Combinaison des vecteurs pour obtenir diverses informations ou usurper une identité ƒLes possibilités offertes par ces vecteurs seront détaillés et commentés, avec dans la mesure du possible, des exemples réels (démos en fonction du temps restant)

ƒToute question est la bienvenue !

20/10/2009 8 Attaques du web - Option SRS 2009 - TELECOM Lille1

ƒClient / Navigateur web

ƒAttaques protocolaires

ƒAttaques sur le serveur web

ƒA--ƒ“—‡• •—" Žǯƒ""Ž‹...ƒ-‹‘ ™‡"

ƒAttaques sur la base de données

20/10/2009 9 Attaques du web - Option SRS 2009 - TELECOM Lille1

Client

ȈNavigateur web

ȈAffichage / lecture

de contenu multimédia (HTML, Flash,

Javascript, Java,

A...-‹˜‡8ǥȌ

ȈAuthentification

Protocoles

ȈPermet de lier

réponses et requêtes

ȈHTTP (clair)

ȈHTTPS

ȈAutres

ȈDNS

ȈProxies

ȈExtensions HTTP

Serveur Web

ȈLogiciel

ȈServir la requête

ȈApache

ȈIIS

ȈNginx

ȈLighttpd

ȈTomcat

Application

Web

ȈLogiciel spécialisé

ȈApplication

" métier »

ȈPrésentation du

contenu

ȈProgrammation

ȈPHP / ASP

ȈJSP / JAVA

ȈPerl / C++

Base de

données

ȈStocker le contenu

ȈMySQL

ȈPostgreSQL

ȈOracle

ȈSAP

20/10/2009 10 Attaques du web - Option SRS 2009 - TELECOM Lille1

Client

ȈLien vers site

malveillant

ȈXSS - Cross Site

Scripting

ȈXSRF - Cross Site

Request Forgery

ȈClickjacking

ȈVulnérabilités

navigateur

ȈSSLStripping

quotesdbs_dbs27.pdfusesText_33

[PDF] Bewahrt die Hamburger Hauptkirchen!

[PDF] bewährte bora - bora yachten

[PDF] Bewährtes und Neues kombiniert

[PDF] Bewältigung emotionaler Belastungen durch Querschnittslähmung

[PDF] bewamat 25 - 50 - 75

[PDF] Bewan 900

[PDF] BeWAN ADSL Ethernet st - Ordinateur

[PDF] BeWAN GAZEL 128 USB Modem/Fax NUMERIS

[PDF] BeWAN systems : votre solution ADSL - Anciens Et Réunions

[PDF] BEWANT (Page 1)

[PDF] Beware of Phishing attacks - Compte Bancaire

[PDF] Bewe Alle - Technische Hochschule Nürnberg

[PDF] bewegen - volkswagen-media

[PDF] bewegen! - Volksbank Greven eG

[PDF] Bewegende Preisverleihung