[PDF] Analyse de vulnérabilités et évaluation de systèmes de détection d

View - Download Analyse de vulnérabilités et évaluation de systèmes de détection d

Previous PDF

Next PDF

>G A/, ?H@yydjeyRj ?iiTb,ff?HXb+B2M+2f?H@yydjeyRj am#KBii2/ QM kd a2T kyRk >GBb KmHiB@/Bb+BTHBM`v QT2M ++2bb `+?Bp2 7Q` i?2 /2TQbBi M/ /Bbb2KBMiBQM Q7 b+B@

2MiB}+ `2b2`+? /Q+mK2Mib- r?2i?2` i?2v `2 Tm#@

HBb?2/ Q` MQiX h?2 /Q+mK2Mib Kv +QK2 7`QK

i2+?BM; M/ `2b2`+? BMbiBimiBQMb BM 6`M+2 Q` #`Q/- Q` 7`QK Tm#HB+ Q` T`Bpi2 `2b2`+? +2Mi2`bX /2biBMû2 m /ûT¬i 2i ¨ H /BzmbBQM /2 /Q+mK2Mib b+B2MiB}[m2b /2 MBp2m `2+?2`+?2- Tm#HBûb Qm MQM-

Tm#HB+b Qm T`BpûbX

6BHH2b /2 bû+m`Biû /2b TTHB+iBQMb q2# S`BM+BT2b-

T`/2b 2i #QMM2b T`iB[m2b /2 /ûp2HQTT2K2Mi

:mBHHmK2 >``v hQ +Bi2 i?Bb p2`bBQM, :mBHHmK2 >``vX 6BHH2b /2 bû+m`Biû /2b TTHB+iBQMb q2# S`BM+BT2b- T`/2b 2i #QMM2b T`iB[m2b /2 /ûp2HQTT2K2MiX kyRkX ?H@yydjeyRj

FAILLES DE SECURITE

APPLICATIONS WEB

PRINCIPES,

DEVELOPPEMENT

Date de dernière mise à jour

Version

terminé

Licence

Objet du document

I

TABLE DES MISES A J

Version du

document Date Objet de la mise à jour

1.0 05/12/2011 Création du document

1.1 06/01/2012 Mise à jour

1.2 26/01/2012 Mise à jour et ajout du paragraphe

" Menaces et risques applicatifs »

1.3 14/03/2012 Mise à jour

II

TABLE DES M

1. INTRODUCTION

2. APPLICATIONS WEB

2.1 Architecture

2.2 Composants du client Web

2.3 Composants serveur

3. FAILLES SECURITE

3.1 Menaces et risques applicatifs

3.2 Injection

3.3 Cross

3.4

3.5 Référence directe non séc

3.6 Falsification de requête inter

3.7 Mauvaise configuration de sécurité

3.8 Stockage de données cryptographiques non sécurisé

3.9 Défaillance dans la restriction des accès à une URL

3.10 Protection insuffisante de la couche transport

3.11 Redirection et renvois non validés

4. BONNES PRATIQUES

4.1 Règles de développement

4.2 Configuration des composants serveur

4.3 Audit

5. CONCLUSION

5.1 Constat

5.2 Perspectives

6. BIBLIOGRAPHIE

III

TABLE DES

Figure 1

Figure 2

Figure 3

Figure 4

Figure 5

Figure 6

Figure 7

Figure 8

Figure 9

Figure 10 ...

Figure 11

Figure 12

Figure 13

Figure 14

Figure 15

Figure 16

Figure 17

Figure 18

Figure 19

Figure 20

Figure 21

Figure 22

Figure 23

Figure 24

Figure 25

Figure 26

Figure 27

Figure 28

Figure 29

Figure 30

1

1. Introduction

Web ettre est une agence rattachée au s et publiques dont le but est de sensibiliser les entreprises et qui publie des recueils de bonnes pratiques de sécurité pour le Web

Open Web Application Se

organisations et les personnes sur les risques liés à la sécurité ce biaisr Les exemples sont écrits pour un environnement Et enfin un recueil de bonnes pratiques permettra de se prémuni 2 2. A

2.1 Architecture

2.1.1 Le réseau Internet et ses protocoles

L transmission de données sur Internet. [1]

Figure Internet

La ping » et "traceroute » [2] réémettre tout le message, mais uniquement le paquet. et

Comme indiqué par

[3] s L. Shklar et R. Rosen. Web Application Architecture: Principles, Protocols and Practices. [2] S. Gulati.

Magazine Crossroads 6, article 3, 2000

G.Florin et S.Natkin. Support de cours . CNAM, 884p, 2007 3 e courrier électronique un message, la requête, au serveur communications entre requ navigateurs intègrent le système requête.

Figure

2.1.2 Evolution des architectures applicatives

Les applications Web

emble des informations, exécutait afficher les résultats. La machine était passive. Ce mode de fonctionnement est le même que ent/serveur. Le client pouvaient http 4 TML peuvent utiliser les mêmes services

2.1.3 Web 2.0

J. Governo [4]

mise à isateur média (texte, vidéo, musique). Internet a permis de mettre en rel le Web est devenu le support du Web 2.0 qui a permis de mettre en relation des personnes. graphique

2.2 Composants

2.2.1 Le navigateur

Dans les architectures citées précédemment http texte, le navigateur envoie une GET [5] standardiser toutes les innovations développées pour [4] J. Governor, DWeb 2.0 Architectures. C. PorteneuveBien développer pour le Web 2.0 : Bonnes pratiques Ajax. 5

Figure

données XML M partie du Web 2.0.

2.2.2 Les scripts

des langages de scripts et des extensions aux navigateurs.

générés par les objets de la page. Il permet en fait de modifier la page HTML sans envoyer de

intègre cet objet. Cela permet de communiquer de manière asynchrone avec le serveur, ce que conjointement les technologies XHTML, Javascript et CSS. 6

Figure

Des éditeurs tels que

2.3 Composants serveur

2.3.1 6HUYHXUV JHN HP VHUYHXUV G·MSSOLŃMPLRQ

Comme évoqué pré

optio méthode P fonctionnent indépendamment du serveur http, il

CGI (

extérieure appelé " serveur http. Cela peut être du C++, du Perl ou même Java. Il faut seulement que le programme puisse être les requêtes de script basé pour être exécutées. script d 7

Microsoft

AS

é pour les exemples du présent document.

2.3.2 Serveurs de données

Les données étant principalement gérées par des serveurs dédiés, les langages cités

interagir avec eux. Les systèmes de gestion de bases de interroger les données et de les mettre à jour. uvent être

LDAP de la couche "

8

3. Failles

3.1 Menaces et risques

3.1.1 7\SHV G·MPPMTXHV

Le WASC

s permettant fins hostiles.

3.1.2 Risques de sécurité

Contrairement au WASC

ne traite que de se focaliser sur la protection de application Web

établit le classement

injection correctement, 9 configur URL

3.1.3 CRUUHVSRQGMQŃHV HQPUH OHV GpILQLPLRQV GH O·2J$63 HP GX J$6F

Le tableau ci

Risques identifiés par

en 2010 Attaques identifiées par le WASC en 2010 Catégories

Injection

Cross-Site Scripting

10

Violation de Gestion

et de Session

Référence directe à un

objet non sécurisée

Falsification de

requêtes inter-sites

Gestion de

configuration non sécurisée

Stockage de données

non sécurisé

Défaillance de

à une URL

Communications

non sécurisées

Redirection et renvoi

non validés

Figure OWASP

11

3.2 Injecti

3.2.1 Principe

la va de la simple récupération de données à la prise totale de [6] . Ce [7] personnelt envoyer rendant le risque plus

3.2.2 ([HPSOHV G·MPPMTXH

pour faire en sorte que la requê inutilisable ou de supprimer toutes les données de la table visée bancaires enregistrées script de création de cette table est le suivant

CREATE TABLE IF NOT EXISTS

int(11) NOT NULL AUTO_INCREMENT COMMENT varchar(30) NOT NULL COMMENT varchar(41) NOT NULL, varchar(30) NOT NULL COMMENT varchar(30) NOT

PRIMARY KEY

UNIQUE KEY

ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;

Figure

Pour afficher le numéro de carte

[6] M. Contensin. formation PHP/MySQL [7] J. Scambray, V. Liu et C. Sima. Hacking Exposed Web Applications: Web Application Security . Osborne/McGraw H. Dwivedi, A. Stamos, Z. Lackey et R. Cannings. Hacking Exposed Web 2.0: Web 2.0 Security 12

SELECT

FROM WHERE

AND PASSWORD(

Figure

Le script

Figure En remplissant le formulaire' OR 1=1 » nom » et ot de passe, la requête qui sera envoyée à la base de données

SELECT FROM WHERE OR

Figure

Ain -- ». Cela permet donc de récupérer aléatoirement un numéro [9] r à des informations privées qui sont

requête LDAP qui sera générée, il est possible de récupérer la liste exhaustive des adresses de

treprise pour les saturer de spam par exemple.

CGI écrits en Perl, PHP et Shell. Il est possible de prendre le contrôle du serveur. Il faut pour

serveur. Les fichie Z.

POPL'06 Conference, ACM SIGPLAN Notices, p372

13 fonctionnalité peut être exploitée en plaçant un fich

3.2.3 Parade et bonnes pratiques

Les différentes attaques citées précédemm de caractères spécifiques qui permettent de mettre en commentaire des portions de code et

Figure

Cependant les applications Web de gestion de contenu comme les forums doivent les mais les données seront plus sûres. il suffit de vérifier Figure De plus il faut vérifier que les valeurs sont bien du type et du format attendu (longueur, failles SQL dans son bulletin de sécurité ou des requêtes ayant pour paramètres des valeurs inappropriées. 14

3.3 Cross

3.3.1 Principe

la vulnérabilité à principalement

A CERTA

la victime, [10]

également une

[11]

XSS par réflexion (Web

exploiter par XSS. dont un des

Figure

attaque ss car le code pe [10] Y.

Computer Networks, pages 739

[11] A. Kiezun, P. J. Guo, K. Jayaraman, M. D. Ernst.

ICSE, pages

15

Figure

3.3.2 ([HPSOHV G·MPPMTXH

LXSS par réflexion

forum intègrent des formulaires pour recherche des messages par leur contenu. La page de

Figure

En cliquant sur ce lien, la victime lancera la recherche. Puis le moteur de recherche affichera es . Un courrier malveillant peut taque de type forum support de la démonstration est la suivante

CREATE TABLE IF NOT EXISTS

in(11) NOT NULL AUTO_INCREMENT COMMENT int(11) NOT NULL COMMENT varchar(30) NOT NULL COMMENT varchar(4000) NOT NULL COMMENT PR ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=6 ;

Figure

Le script PHP un message. Comme une des

16  Merci$nom $message"

Figure dans la table "

En saisissant comme message un code JavaScript malveillant, il sera enregistré dans la Sujet $numsujet" while($resultat mysql_fetch_assoc)) { echo[$resultat[ echo ""

Figure

Lorsque des utilisateurs afficheront le fil des messages, le message fraud

3.3.3 Parade et bonnes pratiques

sont valables pour XSS. & AE AE AE AE AE

Figure

Côté client avec

de cookie HTTPOnly , 17 navigateurs les plus popula Figure Les navigateurs intègrent des protections contre XSS e

JavaScript qui modifie u

18

3.4 9LROMPLRQ GH JHVPLRQ G·MXPOHQPLILŃMPLRQ HP GH VHVVLRQ

3.4.1 Principe

Cette faille de sécurité regroupe toutes les vulnérabilités pou Ces points de faiblesse dans les applications Web peuvent ouvrir à des droit normalement. Cela peut donc leur permettre de le bon fonctionnement lication, ce qui implique que ces systèmes le plus commun ces informations au serveur w

Le serveur web fait appel à un service pour vérifier la validité du couple identifiant/mot de

Si la validité est avérée, le serveur

Comme expliqué précédemment http est un protocole déconnec champteur

Les a accès

Les usurpations.

Figure

3.4.2 ([HPSOHV G·MPPMTXH

authentification des mots de passe pour cet utilisateur 19 temps. service Un pour de valeurs sur différentes applications Web. de chercher des couples identifiant/mot de passe présents ant passe nne est censée connaître ar la force brute est authentifié.

par un attaquant en écoutant la transmission de données sur le réseau, en consultant

uthentifie. La

3.4.3 Parade et bonnes pratiques

longueur applications critiques. De plus il doit comporter au moins un chiffre, une lettre en minuscule un problème de validitéidenti 20 après se reconnecter. Une session doit également avoir une durée de vie maximale au sée. Ces pour se pré uels, comme un nombre important de requêtequotesdbs_dbs14.pdfusesText_20

[PDF] le nickel en nouvelle calédonie

[PDF] le nigeria

[PDF] le nombre d'étudiants au senegal

[PDF] le nouveau gouvernement ivoirien au complet

[PDF] le nouveau secondaire haitien

[PDF] le nouveau taxi 1 corrigés du cahier d'exercices pdf

[PDF] le nouvel entrainez-vous

[PDF] le pacs est il reconnu au usa

[PDF] le pacte international relatif aux droits économiques

[PDF] le parfum baudelaire commentaire

[PDF] le parisien

[PDF] le parisien fait divers stupefiant

[PDF] le parisien journal

[PDF] le parisien magazine du vendredi

[PDF] le parisien magazine pdf gratuit