Mauvaise configuration sécurité

Slides:



Advertisements
Présentations similaires
Didacticiel Mon EBSCOhost
Advertisements

Installation : la fameuse installation en 5 minutes sur un serveur personnel 7 étapes à suivre Téléchargez Wordpress et décompressez l'archive dans un.
Installer un serveur FTP
1. Julie ne se sentait pas très bien en allant à l’école
Les 10 meilleurs conseils pour profiter au mieux dHINARI.
Par Kristina, Hannah et Irina
Sécurité Au Laboratoire Par: Kiana Vaahedi Question: 3
P2 P3 Nos conseils lectures (partie 2 Hunger games): P4.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
À.
Quels sont vos atouts et vos points faibles?
Philosophie pour le 3ème âge
TUTORAT 2013/2014 Faculté de médecine de l’UAG.
Perfect Internet PPS réalisé par WWWGratuit.com. La page de démarrage Vous pouvez ici avoir vos nouvelles préférées avec des flux RSS Votre propre messagerie.
Soutenance de stage · Par : Guillaume Prévost · Entreprise : Cynetic
Philosophie pour le vieil âge
Le virus constructeur d‘Amour
LOGICIEL DE L'AMOUR!.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés
Cours de programmation
SECURITE DU SYSTEME D’INFORMATION (SSI)
Mauvaise configuration sécurité
ACTIVITÉ DE LA RENTRÉE BIENVENUE! CARNET DE ROUTE.
Petites Pensées En voyage …
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Un souhait bien spécial.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
On connaît tous les « lois et règlements » des femmes. Voici maintenant ceux des hommes. Vue sur pps-humour.compps-humour.com.
Capture de son.
Les instructions PHP pour l'accès à une base de données MySql
© Nicole Charest Cliquez pour avancer.
LE REFERENCEMENT NATUREL S.E.O. (Search Engine Optimisation)
La Vie en rose de Dominique Glocheux Images prises sur Internet De ce livre qui ma été offert par ma fille, est tombée une carte envoyée par une Amie.
29/01/2009 Julien Arnoux et Jérémy Depoil
La loi des signes.
Nous, les Animaux Diaporama de Gi Prenons la parole... ici.
QUE TU NE VEUX PAS PERDRE EN 2011,
MES AMIS PARAS... P V B W S R O M D Y A Z I J G H L Q C E F N K T U X.
Remue-méninges.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
LA VRAIE BEAUTE Il y avait dans ses yeux, dans son sourire,
Notre Père.
Page 1 Page 2 La prudence à observer Attention aux téléchargements : choisir des sites sérieux.  Préférer Comment ça marche, Clubic et Toms’guide. 
Mettre le son !.
Mettre le son Vue sur pps-humour.com.
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
L’influence d’un groupe sur une personne ou un autre groupe.
HISTOIRE DE FOURCHETTE
Hier, vous avez fait des exercices de votre plan de travail.
Diaporama de Gi "Ji souris" Je souris ou Gi sourit.
Que des problèmes !!! J’ai de gros problèmes avec mon ordinateur; est-ce que c’est un virus peut-être??
Si le Diaporama ne s'ouvre pas en plein écran Faites F5 sur votre clavier.
Diaporama de Gi Bonne St Valentin.
Un souhait bien spécial.
Accès au site de Points de repère Deux cas de figure: Vous avez déjà eu un accès au site ou vous avez un compte sur un site d’un autre titre Bayard : rendez-
Êtes-vous un accroc du web? n Vous embrassez la page d'index de votre petite amie. n Votre page de signet prend 15 minutes pour être visualisée entièrement.
Bonjour !.
On connaît tous les "lois et règlements" des femmes, voici maintenant ceux des hommes.
Psaume 139 Par Richard Gunther
Les pronoms possessifs
Des lettres pour TOI Attention belle musique.
Mémoriser? Toute une page!. Oui! C’est possible! Il faut le répéter BEAUCOUP.
EN TOUTE AMITIÉ.
Mots-Outils Tu devrais pouvoir lire ces mots sans devoir faire les sons des lettres. Si tu as de la difficulté, pratique, pratique, pratique!
Séminaire de rentrée cours de programmation web & Wordpress
{ Java Server Pages Par Billy et Mike.  Introduction  Qu’est-ce que JSP?  Pourquoi utiliser JSP?  Développement  Balises  Servlets  Conclusion.
Violation de Gestion d’authentification et de Session
Transcription de la présentation:

Mauvaise configuration sécurité

Vulnérabilités Beaucoup de serveur vulnérable bien longtemps après avoir eu un patch release Ou tous simplement être trop lâche pour changer les config d’un api/service

Qui sont affecte Énormément de personne On crois que si la compagnie est grosse on as moins de chance que ca arrive , faux… Voir plus loin avec scada …

Exemple de bug si on update jamais nos plugins… Serveur Web Hooo yeah le web en PHP avec des plugin Pas oublier de les updater http://www.exploit-db.com/exploits/23651/ http://www.exploit-db.com/exploits/23652/ http://www.exploit-db.com/exploits/22686/

Suite de la diapo précédente .. Yen as trop a linker Nouveau de hier :P http://www.insinuator.net/2013/01/rails-yaml/ Mon préféré http://www.exploit-db.com/wordpress-timthumb-exploitation/ http://www.exploit-db.com/webapps/ Vas être plus simple , yen as des tonne http://www.youtube.com/watch?v=udyEOzHK08E si j’ai le temps car pas complètement related https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion

Exemple d’une mauvaise configuration SCADA Bind Les routeur ! Apache

Exemple d’une mauvaise configuration Suite… Qui ne sais pas ces quoi scada ?

En gros les ingénieur de scada chez siemens as eu la brillante idée de hard coder un password dans le système donc les gens peuvent se connecter comme ils le veulent dans la console scada d’un virus Le mots de passe a circule pendant des année avant d’être découverts dans un virus ,le virus en question est plus communément appelé stuxnet. Pour plus d’info sur stuxnet qui est une merveille de codage ( un virus de 500k de gros ) (allez voir le site de Microsoft pour une analyse plus approfondie de comment il fonctionne et pareille il ne fait qu’effleurer ce virus qui as des plugin et de la crypto accoté ) http://blogs.technet.com/b/markrussinovich/archive/2011/03/30/3416253.aspx

Bind ! Bind est un serveur Dns , qui dans les année 2008 as eu un bug qui permettait de poisoner sa cache. Encore 5% serait encore plus ou moin vulnerable Un autre fail des gens qui ne config pas comme il faut leur serveur bind est d’accepter les request mais pas en local http://dns.measurement-factory.com/surveys/openresolvers/ASN- reports/latest.html 11,920,500 open resolvers. http://dns.measurement-factory.com/surveys/201010/

Vos routeur Une exemple classique de ce que vous pouvez voir chez voisin paresseux

Apache Lui Ya plein de fun chose a dire

Apache Suite Mais comme hugo veut des exemple pas en réseau mas me limiter juste a un. Désactiver les erreur par default / faite vos page d’erreur vous-même , ses pas complique, rend votre site plus sérieux et vous évites de donner des info que vous voulez pas nécessairement que tout le monde sache Par default apache nous donne plein d’info le fun

Apache suite Ou deux Si vous pouvez aussi limiter l’Affichage des erreur php ca aide beaucoup contre le monde qui tente d’exploiter vos erreur Ces pas complique en plus… mais il faut le faire car par default php affiche tout Oubliez pas d’updater vos api une fois de temps en temps ( jquerry , ajax , etc … )

Assurez vous que si vous utiliser un Assurez vous que si vous utiliser un .htaccess avec un http basic autentication de pas laisser apache afficher vos fichier .htpasswd Il y as une merveilleuse fonction de apache qui permet d’empêcher d’afficher des fichier que vous voulez pas , vous pouvez même le faire dans votre .htacces !

Exemple ! #ErrorDocument 500 "The server made a boo boo.“ error_reporting = E_ALL <files home.php> Deny from all </files> ErrorDocument 400 /errors/badrequest.html <FilesMatch ^((home|test|file)\.php$|mysecretfolder|asecretpicture\.jpe?g)$> </FilesMatch>

Comment éviter ces problème Travailler avec l’équipe d‘IT ci vous en avez une , pour vous assurer que vos système sont a jours quand possible. faire des test fréquent sur vos système qui teste si tous agit correctement et que toutes vos config sont bien faite Des pentest et audit peuvent être de bon moyen pour trouver et régler ces faille Développer votre système en partant avec la sécurité en tète et pas se dire que notre système ne seras jamais connecte a internet , on sais tous que ca vas finir par arriver soit directement ou indirectement

Conclusion Rien de bien complique a éviter, tous simplement rester intelligent lorsque que l’on programme