Embed Size (px)
DESCRIPTION
Séminaire INGI 2591. Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23. Plan de l’exposé. Rappel Whisker et attaques web Attaque choisie Règles proposées Règle choisie Critique des règles Résultats. Rappel Whisker et attaques web. - PowerPoint PPT Presentation
Citation preview
Séminaire INGI 2591
Attaques WebAccardo Nicolas INFO 22
Blerot Olivier INFO 22
Couvreur Pascal INFO 22
Depry Fabian INFO 23
21 avril 2023 Ingi 2591
Plan de l’exposé
• Rappel Whisker et attaques web• Attaque choisie• Règles proposées• Règle choisie• Critique des règles• Résultats
21 avril 2023 Ingi 2591
Rappel Whisker et attaques web
• Webscanner– requêtes http
– différents types de contournement d’IDS
• « Keep in mind that tools are not evil, but rather the people running them. Whisker was designed and bred to fulfill a legitimate security assessment need; use for illegal purposes is not intended, nor implied with this tool. »
21 avril 2023 Ingi 2591
Attaque choisie
• FormMail (Matt’s Script Archive)
• Fonctionnement normal :– « ... generic WWW form to e-mail gateway, which will
parse the results of any form and send them to the specified user... »
– Principe• recipient : destinataire et auteur de la page dans une utilisation
normale
• env_report : variables d’environnement transmises à « recipient »
21 avril 2023 Ingi 2591
Attaque choisie : suite
• Fonctionnement détourné :– Envoyer des variables d’environnement à l’attaquant
– Principe• recipient : adresse mail de l’attaquant
• env_report : variables d’environnement transmises à l’attaquant
21 avril 2023 Ingi 2591
Règles proposées
• Alerter chaque requête à FormMail (lien interne vers arachnids)
• alert TCP any any -> $HOME_NET 80 (content: "formmail"; msg: "My-Formmail-Attack"; flags: PA;)
• Alerter chaque requête contenant « env_report »• alert TCP any any -> $HOME_NET 80 (content: "env_report"; msg: "My-Formmail-Env_Report-Attack"; flags: PA;)
21 avril 2023 Ingi 2591
Règle choisie
• Alerter chaque requête à FormMail et contenant « env_report » (lien interne vers arachnids)
• alert tcp any any -> $HOME_NET 80 (content-list: groupe2-list; msg: "My Formmail-Env Attack"; flags: PA;)
• Avec 'groupe2-list' :
#groupe 2
formmail
env_report
#fin groupe 2
21 avril 2023 Ingi 2591
Critique des règles
• Inefficaces contre :– URL encoding
– Session Splicing
• Réponse apportée :– Préprocesseur « HTTP Decode »
– Ajout de la règle existante pour le « session splicing » :• insérer arachnids
21 avril 2023 Ingi 2591
Critique des règles : suite
• recipient• « False positives »
• env_report : alerter chaque fois peut être inutile pour certaines variables d’environnement (REMOTE_HOST…)…
• session splicing : test avec telnet ou fin de fichier
• « False negatives »• Session splicing avec plus de 5 caractères (et maximum de 8)
…
• … mais le nombre de ces caractères peut être revu– si 8, risque d ’augmentation de « false positives »
21 avril 2023 Ingi 2591
Résultats
• Attaque avec tous les modes d’évitement
Détection par Snort de chaque cas en régime isolé
