La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Au dela du top 10. Contexte Dans le cours de sécurité précédent (GTI619), vous avez vu le top 10 de l’OWASP. Ce cours vise à vous présenter au delà du.

Publié parCyril Audy Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Au dela du top 10. Contexte Dans le cours de sécurité précédent (GTI619), vous avez vu le top 10 de l’OWASP. Ce cours vise à vous présenter au delà du."— Transcription de la présentation:

1 Au dela du top 10

2 Contexte Dans le cours de sécurité précédent (GTI619), vous avez vu le top 10 de l’OWASP. Ce cours vise à vous présenter au delà du top 10, les nouvelles attaques et vulnérabilités qui affectent le web.

3 Rappel du top 10 A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards

4 Et après Les vulnérabilités suivantes sont souvent incluse dans le top 10, mais souvent ignorée ou peu connue. Pourtant, l’impact est parfois significatif.

5 SideJacking Le sidejacking est une attaque simple, qui attaque le comportement des navigateurs, entre HTTP et HTTPS. Dans un contexte normal, les cookies sont toujours transmit au site web, meme si c’est sur HTTP.

6 SideJacking Un attaquant en MitM est en mesure de rediriger un client vers HTTP. (Meme si il n’existe pas de site http, pour de vrai) Le navigateur est ensuite en mesure de voler les cookies (fichiers témoins) de l’usager et d’impersonnifier l’usager.

7 SideJacking Cette attaque est très connue et il existe plusieurs outils pour automatiser l’attaque (sidejacking, hamster, firesheep)

8 Solution Il existe une entête HTTP qui mitige cette attaque: HSTS « http Strict Transport Security », cet entête indique au navigateur d’ignorer les requêtes vers http et de les remplacer par https. (Note, il existe d’autres mécanismes, tel qu’indiquer les cookies « secure », mais cette mesure est partiellement efficace)

9 ClickJacking

10

11 En 2009, le chercheur de sécurité Robert Hansen (Rsnake), fait une démonstration d’une nouvelle attaque (et de la monétisation). Il démontre qu’il est capable de faire 900 000$ en 1 mois grâce à cette attaque. Source:http://www.blackhat.com/presentations/bh -usa-09/GROSSMAN/BHUSA09-Grossman- MoMoneyMoProblems-SLIDES.pdf

12 ClickJacking/MouseJacking Le clickjacking est une attaque qui permet de forcer à un usager de clicker/entrer des données sans qu’il le sache. L’attaque consiste à placer la page victime sur la page, invisible. Lorsque la victime clique sur ce qu’elle pense être un bouton, elle clique en fait sur la page victime.

13 ClickJacking Source: http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp- content/uploads/090814_1427_Clickjackin1.png

14 ClickJacking La solution est simple, il existe une entête qui prévient d’être inclus dans un iframe; il s’agit de « X-Frame-Option ». Avec cette entête, un navigateur (moderne) va refuser de charger un iframe qui contient X- Frame-Option: deny »

15 XXE Le XXE est une attaque d’injection (A1) dans le top 10 de l’OWASP. Les gens ont tendance à limiter A1 à de l’injection SQL. Une attaque de XXE est une attaque qui permet d’inclure des ressources locale, qui sont ensuite réfléchie à l’attaquant.

16 XXE Cette attaque permet généralement de voler des fichiers locaux/sensible, d’un serveur. Jusqu’à très récemment, cette attaque était super commune, car elle les parseurs XML étaient vulnérable par défaut.

17 XXE ]> &xxe; Par exemple, ceci permet de voler le fichier /etc/passwd (qui est affiché à l’écran)

18 XXE Même si le fichier n’est pas affiché (ou il contient des caractères illégaux), il est encore possible de voler les fichiers en utilisant le DTD. Source: http://blog.h3xstream.com/2014/06/identifyi ng-xml-external-entity.html

19 Apparté: A1 - Injection A1: Injection du top 10 de l’Owasp comprend l’injection SQL, mais aussi XPATH Injection, le LDAP Injection, le command injection, le nosql injection, le stmp header injection etc.

20 SSRF Le CSRF (Client Side Request Forgery) est une attaque dans laquelle un attaquant force un client à faire une requête arbitraire. Le SSRF est une attaque qui force un serveur à faire une requête arbitraire et afficher le résultat.

21 SSRF Pourquoi est-ce un problème? En permettant du SSRF, un attaquant est en mesure d’accèder aux ressources internes, via le serveur web. Dans certains cas, cela permet de voler les ressources du serveur.

22 SSRF Amazon conserve une copie complète de l’OS, incluant les scripts de démarrage et les fichiers à l’adresse (non routable) 169.254.169.254 Ainsi, si une application amazon est vulnérable au SSRF, il est possible de lire l’ensemble de son os et des fichiers. Note: En 2014, l’équipe de l’ETS a réussi à prendre contrôle de la compétition de sécurité DEFCON ainsi. Ils ont rapporté la vulnérabilité de façon responsable et obtenu 0 point. 

23 Oracle Cryptographiques De plus en plus de données web sont chiffrées, afin de les protéger des attaquants et prevenir des attaques communes. Hors, dans certains cas, il est possible de déchiffrer/déchiffrer des données et ca, sans avoir la clé.

24 Oracle Cryptographique Si l’algorithme de chiffrement est en mode ECB, alors il est CERTAIN qu’il est possible de déchiffrer les données. Si l’algorithme de chiffrement est en mode CBC, il est possible qu’il soit possible de déchiffrer les données, si l’application différencie entre une erreur de padding et une erreur de déchiffrement. Pour plus d’information: http://www.infobytesec.com/down/paddingoracle_op enjam.pdf

25 Problème EnvoyerArgent($entree, $sortie, $montant){ // Verifier que l’usager a assez d’argent If (verifierCompte($entree, $montant)){ ajouterArgent($sortie, $montant); enleverArgent($entree, $montant); } else { echo « Pas Assez d’argent »; }

26 Concurrence Critique En 2015, un chercher de sécurité a réussi à inventer de l’argent sur les cartes StarBucks, en utilisant une concurrence critique. Puisque la majorité des serveurs sont multi-fils (multi threaded), alors il a été possible de faire plusieurs requêtes de transfert d’argent, avant que le débit d’argent soit complété. Source: http://sakurity.com/blog/2015/05/21/starbucks. html

27 Concurrence Critique Pour se protèger contre ce type d’attaque, il faut que les requêtes sont complétées dans l’ordre avant d’accepter de nouvelles requêtes.

28

Télécharger ppt "Au dela du top 10. Contexte Dans le cours de sécurité précédent (GTI619), vous avez vu le top 10 de l’OWASP. Ce cours vise à vous présenter au delà du."

Présentations similaires

Botnet, défense en profondeur

Botnet, défense en profondeur
Conception de Site Webs dynamiques Cours 5

Conception de Site Webs dynamiques Cours 5
Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 9 Patrick Reuter.

Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 9 Patrick Reuter.
Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 8 Patrick Reuter.

Algorithmes et structures de données avancées Partie Conception de Sites Web dynamiques Cours 8 Patrick Reuter.
CORRECTION DU DEVOIR DE SYNTHESE N° 2

CORRECTION DU DEVOIR DE SYNTHESE N° 2
Une solution personnalisable et extensible

Une solution personnalisable et extensible
Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © 2007 - Sébastien GIORIA.

Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © Sébastien GIORIA.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Audit technique et analyse de code

Audit technique et analyse de code
Cours 6 : XML et les architectures N-tiers – Tier Applicatif

Cours 6 : XML et les architectures N-tiers – Tier Applicatif
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
Design Pattern MVC En PHP5.

Design Pattern MVC En PHP5.
Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Le mécanisme de Single Sign-On CAS (Central Authentication Service)
TP 3-4 BD21.

TP 3-4 BD21.
NFE 107 : Urbanisation et architecture des systèmes d'information

NFE 107 : Urbanisation et architecture des systèmes d'information
Un peu de sécurité Modal Web Modal Baptiste DESPREZ

Un peu de sécurité Modal Web Modal Baptiste DESPREZ
API Présentation Comment ajouter des pages. Vous voici dans notre site « laboratoire » pour la démonstration RAJOUTER UNE PAGE.

API Présentation Comment ajouter des pages. Vous voici dans notre site « laboratoire » pour la démonstration RAJOUTER UNE PAGE.
Failles de sécurité INJECTION

Failles de sécurité INJECTION
Oct.-2000DESS IIDEE © B. BAH 1 ASP Caractéristiques dun fichier ASP Son extension : « *.asp » La balise: Son indépendance vis à vis de toute plate–forme,

Oct.-2000DESS IIDEE © B. BAH 1 ASP Caractéristiques dun fichier ASP Son extension : « *.asp » La balise: Son indépendance vis à vis de toute plate–forme,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

Présentations similaires

Annonces Google