A Web Application Hacker’s Toolkit

Sécurité informatique :

2013/2014

Introduction

Les navigateurs web

Les outils de tests intégrés

Les Scanners de vulnérabilité

Conclusion

Webographie/bibliographie

2

Plan

3

Introduction

Les applications Web une cible

privilégiée des attaques :

facilement accessibles .

Elles offrent un point d'entrée lucratif, pour

accéder à des données précieuses .

4

Les navigateurs web

Quelques attaques sur des applications

Web peuvent être effectuées en utilisant

seulement un navigateur web standard,

cependant, la majorité d'entre eux nécessitent

l’utilisation de certains outils supplémentaires.

Beaucoup de ces outils fonctionnent en

conjonction avec le navigateur, on cite les

extensions et les outils externes qui modifient son

interaction avec l'application cible.

5

Les navigateurs web

Votre choix de navigateur peut avoir un impact sur votre

efficacité en attaquant une application Web. De plus, il y a des

extensions diverses disponibles pour les différents types de

navigateurs, et qui peuvent vous aider dans l'exécution d'une attaque.

Dans cette section, nous examinons brièvement deux navigateurs

populaires et certaines des extensions disponibles pour eux.

6

HttpWatch : il s'intègre à Internet Explorer comme

une barre d‘explorateur pour qu’on puisse voir l'activité

HTTP/HTTPS au moment ou on surfe sur le Web. Il

Analyse toutes les requêtes et les réponses HTTP, et il

fournit les détails d'en-têtes et les cookies qui ont été

envoyés ou reçus à partir d'une page Web, une image

ou un fichier téléchargé.

Internet Explorer

Les navigateurs web

7

IEWatch :Il offre la possibilité d’apporter des corrections au

trafic de HTTP et de HTTPS, d’analyser les cookies et nous

donne des renseignements très utiles sur le code de HTML.

Internet Explorer

Les navigateurs web

TamperIE : est un outil utile pour tester la sécurité des

applications Web.il permet la modification des requêtes

HTTP.

8

Firefox

FoxyProxy : Permet une gestion flexible de la configuration de proxy.

Tamper Data , LiveHTTPHeaders : Permet d’afficher et de modifier les requêtes

et les Réponses HTTP dans le navigateur.

AddNEditCookies :Permet l'addition et la modification des cookies.

CookieWatcher :Permet à la valeur d'un cookie d'être contrôlé dans une barre

d'état .

Les navigateurs web

Les outils de tests intégrés

• Le proxy transparent

• Les robots d’indexation

• Les scanners

• Paros Proxy

• WebScarab

• Burp Suite

10

Le proxy transparent

Il agit sur le réseau comme s'il s'agissait d'un routeur (pas de

configuration superflue de la part de l'utilisateur) , mais filtre comme un

serveur proxy (bloque les applications autres que celles définies par

l'administrateur).

Ce proxy permet par exemple au fournisseur d'accès de connaître

les habitudes de navigation de leurs abonnés ou de réduire le nombre

d'accès effectifs aux sites distants.

11

Les robots d’indexation

Ils visitent en permanence les sites Internet en passant de page en page pour récupérer les contenus. C’est l’analyse de ces contenus qui permet ensuite au moteur de recherche de proposer des résultats pertinents en fonction des recherches des internautes.

Certains robots sont utilisés pour archiver les ressources ou collecter des adresses électroniques auxquelles envoyer des courriels.

12

Les scanners de vulnérabilité des

applications Web

Avec le développement croissant d’internet, les applications Web

sont devenues de plus en plus vulnérables et exposées à des attaques

malveillantes pouvant porter atteinte à des propriétés essentielles telles

que la confidentialité, l’intégrité ou la disponibilité des systèmes

d’information.

13

Les scanners de vulnérabilité des

applications Web

Pour identifier ces vulnérabilités dans une

application, un système d'exploitation, ou un réseau, il faut

utiliser un scanner de vulnérabilité, qui peut être utilisé

dans des objectifs licites ou illicites :

14

Utilisation

• Objectifs licites : les experts en sécurité informatique des entreprises utilisent

les scanneurs de vulnérabilité pour trouver les failles de sécurité des systèmes

informatiques et des systèmes de communications de leurs entreprises dans le

but de les corriger avant que les pirates informatiques ne les exploitent.

• Objectifs illicites : les pirates informatiques utilisent les mêmes équipements

pour trouver les failles dans les systèmes des entreprises pour les exploiter à

leur avantage.

15

Types de vulnérabilités des applications Web

Attaques côté client – exécution illégale de code étranger

• L’usurpation de contenu leurre un utilisateur en lui faisant croire qu’un certain

contenu s’affichant sur un site Web est légitime et qu’il ne provient pas d’une

source externe.

• Le script intersites (ou Cross-site Scripting - XSS) force un site Web à relayer le

code exécutable fourni par un pirate et à le charger dans le navigateur Web de

l’utilisateur.

16

Types de vulnérabilités des applications Web

Exécution de commandes – prise de contrôle d’une application Web

• L’injection de code SQL construit des instructions SQL sur une application de site

Web à partir des informations saisies par l’utilisateur.

• L’indexation de répertoires est une fonction automatique de serveur Web pour le

listage/l’indexation de répertoires qui affiche tous les fichiers d’un répertoire

demandé en l’absence du fichier de base normal.

• Une attaque par traversée de répertoires (ou Path Traversal) force l’accès aux

fichiers, dossiers et commandes pouvant se trouver en dehors du dossier racine

du document Web.

17

Types de vulnérabilités des applications Web

Exemple

• Select uid from users were name=‘nom’ and password=‘(mot de passe hashé)’;

• Select uid from users were name=‘ahmed’ and password=‘123487654567809’;

Attaquer la requête :

Utilisateur : ahmed’ --

Mot de passe : n’importe lequel

Select uid from users were name=‘ahmed’ –’ and password=‘123487654567809’;

<==> Select uid from users were name=‘ahmed’;

18

Types de vulnérabilités des applications Web

19

Quelques outils

HP WebInspect : est un outil automatisé et configurable de sécurité des

applications Web et de test de pénétration qui imite des techniques de piratage et

attaques réelles,

IBM Security AppScan: permet aux entreprises de faire des économies et de

réduire l'exposition au risque par l'identification anticipée des vulnérabilités des

logiciels et leur élimination avant le déploiement.

Nikto est un scanner de sécurité pour les serveurs web, ses fonctionnalités sont

d'auditer vos serveurs web à la recherche de failles diverses, de tester

potentiellement près de 6000 vulnérabilités.

20

Conclusion

Tout bon Hacker à son propre code, alors vous aussi on vous conseille d'en

adopter un !

Pour vous aider voici quelques règles :

• Ne jamais hacker tout ce qui touche de prés ou de loin tout ce qui est

open source, sous licence GPL ou LGPL.

• Hacker tout logiciels ou jeux qui découle de grande firme informatique

(Microsoft, Adobe, Kaspersky...)

• Aider et véhiculer de bonnes informations

• Transmettre et partager le savoir.

Présentation de

la société

Contexte général

du projet

Présentation

du projet

Perspectives

et Conclusion 21

Webographie/ Bibliographie

Bibliographie

The web application hacker’s handbook ( chapitre 19).

Auteur : Dafydd Stuttard et Marcus Pinto

Editeur : Wiley Publishing,.

ISBN : 978-0-470-17077-9

Webographie

• www.commentcamarche.net

• www.wikipedia.org

• www.01howto.blogspot.com

Merci pour votre attention