SRS Day – Conférence 17 novembre 2010 Par : Cyril Amar – amar_c Rémi Chaintron – chaint_r Romain Léonard – leonar_r Arthur Obriot – obriot_a Tom Pineau.

Slides:



Advertisements
Présentations similaires
Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS
Advertisements

CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
Botnet, défense en profondeur
Projet extranet My.Eolas
Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
TER Gestionnaires de contenu en ligne
Applications et Techniques
Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.
TP 3-4 BD21.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Interface Homme Machine IHM Pro
Soutenance de stage · Par : Guillaume Prévost · Entreprise : Cynetic
réalisé par: FreeWays Security Club
Page 1 Introduction à ATEasy 3.0 Page 2 Quest ce quATEasy 3.0? n Ensemble de développement très simple demploi n Conçu pour développer des bancs de test.
Formation Centra - GDE.
Comment détecter et éliminer
SECURITE DU SYSTEME D’INFORMATION (SSI)
Développement dapplications web Initiation à la sécurité 1.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Administration de SharePoint
Réalisation Gestionnaire de Stock
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
Lycée Louis Vincent Séance 1
Les instructions PHP pour l'accès à une base de données MySql
Configuration de Windows Server 2008 Active Directory
Gestion des bases de données
Internet : la mémoire courte ? Capture de sites Web en ligne Conférence B.N.F, Avril 2004 Xavier Roche(HTTrack)
1. SITE WEB DU SERVICE INFORMATIQUE DU RECTORAT
Développer en C avec Eclipse Introduction Création d'un projet Ajout de fichiers Compilation Exécution Utiliser le débogueur Département dinformatique.
Détection d’intrusions
Clients riches RIA (Rich Internet Application) / RDA
Module 2 : Configuration de l'environnement Windows 2000.
Projet de Master première année 2007 / 2008
Extranet des collèges Guide dutilisation des fonctionnalités de la paye des intervenants de la D.A.E. Novembre 2006.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Ipchains TP 1 TP 2 TP 3 Installer un serveur web sur votre poste,
Forum gestionnaires – SOS XLAB 1 29 novembre 2007 Rappel sur les versions Xlab de 2007 Bascule de fin d’exercice Future version d’Xlab.
Vue d'ensemble Configuration d'adresses IP
JEE 5 F.Pfister 2 institut eerie JEE – Une plateforme serveur  Développement et exécution d'applications réparties.
Veolia Consommateurs Contenu
Le workflow Encadré par: M . BAIDADA Réalisé par: ATRASSI Najoua
‘‘Open Data base Connectivity‘‘
Service de surveillance Cacti
PHP & My SQL.
Fadwa AMRI Fanny COUTURIER Virginie ROMAIN.
Audit de réseau. Audit réseau Responsable : Jean-François RODRIGUEZ Objectif : tester les failles d’une machine ou d’un réseau Outil : nessus Audit réseau.
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux, 5 e édition, 2008 Rappel du personnel initié Chapitre Lignes de transport (Aériennes)
GROUPE BTS IRIS 2 Informatique et Réseaux pour l’industrie et les Services techniques E-6 PROJET INFORMATIQUE REVUE N°2      INTERROGATION DE LA BASE DE.
Outil de gestion des cartes grises
eVinci-XP | Portail de services
Centre d’échange d’informations sur la Convention sur la Diversité Biologique Bienvenue dans le cours sur l’ajout d’une page web sur un site web développé.
TYPO 3 Site uved 14 avril 2006.
Huseyin OZENICI Soutenu le 11 Septembre 2009 Soutenance des mémoires Apprentissage / Projet
KRIKORIAN Pierre HILMI Brahim
0 Objectifs de la session n°1  Revenir sur toutes les bases théoriques nécessaires pour devenir un développeur Web,  Découvrir l’ensemble des langages.
1 Présentation. 2 Sommaire Flots de données Evolutions Conclusions.
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
AFPA CRETEIL 1-1 Windows NT Environnement Windows NT Chapitre 1.
Développement d’application client/serveur
Cours de programmation web
Présente Conception d’un petit site Web. 2 4-nov-03© Préambule Cette présentation fait suite à celle intitulée « Imaginer, concevoir, mettre.
Tirer le meilleur parti d’Office /10/ Vincent Bippus IT/OIS 07 octobre 2014.
Soutenance ProJet Individuel
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
S'initier au HTML et aux feuilles de style CSS Cours 5.
Centralisation des sites web d’ELTA & Mise en place d’un serveur NAS
Séance /10/ Projet de site dynamique avec Dreamweaver : MyCMS
Sécurité des systèmes d’information: Web Security & Honeypots
Site Web association Epitech Parents d’Eleves 25/5/2016.
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
Transcription de la présentation:

SRS Day – Conférence 17 novembre 2010 Par : Cyril Amar – amar_c Rémi Chaintron – chaint_r Romain Léonard – leonar_r Arthur Obriot – obriot_a Tom Pineau – pineau_t Nicolas Stefanski

Sommaire  Introduction  Présentation  Typologie des attaques  Outils Externes  Recommandations  Conclusion 2 SRS EPITA - 17 novembre 2010

Introduction  Sites web de plus en plus complexes et dynamiques  De plus en plus d’implication des visiteurs (web 2.0)  De plus en plus de vulnérabilités…  … dont le Cross Site Scripting 3 SRS EPITA - 17 novembre 2010

Introduction « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de euros d'amende. » Article du Code Pénal 4 SRS EPITA - 17 novembre 2010

Présentation  XSS, ou “Cross Site Scripting”:  Vulnérabilité Web la plus (mal) connue.  2ème au Top 10 OWASP en 2007 et  Concerne 80% des sites Web.  Permet d’injecter et exécuter du code non prévu sur un navigateur Web. « XSS is the new buffer overflow, JavaScript malware is the new shellcode » Jeremiah Grossman (XSS Attacks, 2007) SRS EPITA - 17 novembre

 Exemples:  4 Juillet 2010: Attaques par le biais de XSS permanent sur les commentaires de Youtube  21 Septembre 2010: Onmouseover Twitter Worm  4 Novembre 2010: Découverte d’une faille xss sur le site de la CIA Présentation SRS EPITA - 17 novembre

Typologies des attaques  3 catégories d’attaques XSS  XSS réflectif  XSS persistant  XSS hybride  3 modes d’attaques, et de propagation SRS EPITA - 17 novembre

Typologie des attaques > XSS réflectif  L’attaquant forge une URL, et la transmet à sa cible alert(1); ­­  Traitée par le serveur visé, cette URL retourne du Javascript malveillant  Exploitation simple, mais diffusion restreinte SRS EPITA - 17 novembre

Typologie des attaques > XSS persistant  Détection des failles moins aisée  Diffusion large SRS EPITA - 17 novembre  L’attaquant stocke du code malveillant sur le serveur  Les victimes sont infectées lorsqu’elles visionnent la ou les pages compromises

Typologie des attaques > XSS hybride SRS EPITA - 17 novembre  L’attaquant forge une URL et la transmet à une cible, qui infecte le serveur  Fonctionnalité « Qui est en ligne ? »

Outils externes  BeEF  XSS Shell et XSS Tunnel  Xeek SRS EPITA - 17 novembre

Outils externes SRS EPITA - 17 novembre  Fonctionnement

BeEF – Browser Exploitation Framework  Framework d’exploitation de navigateur web  But: démontrer l’impact des failles XSS sur les navigateurs  Se présente sous la forme d’une interface web  Prérequis:  Un serveur principal hébergeant BeEF  Un site compromis avec une faille XSS  Une machine client envoyant les commandes au serveur SRS EPITA - 17 novembre

BeEF – Browser Exploitation Framework  Fonctionne sous forme de modules (AlertDialog, RawJavascript, Detection de plugins …)  Possibilité de créer ses propres modules (javascript)  Gestionnaire de zombies journalisé  Connexion possible avec Metasploit SRS EPITA - 17 novembre

BeEF – Browser Exploitation Framework AvantagesInconvénients Simplicité d’installationMauvaise gestion des botnets de plus de 100 zombies (principalement dû à l’utilisation du Javascript) Intégration avec MetasploitPas de sauvegarde en base de données Fusion avec XSS Shell et XSS Tunnel en prévision Nécessité de mettre en place un serveur web distant accessible depuis internet Interface graphiqueLes victimes ne restent pas infectées si elles changent de page Installation Multiplateforme: Windows, Linux et Mac OS Portable grâce à l’utilisation de PHP Possibilité de customisation (création de modules) SRS EPITA - 17 novembre

XSS Shell et XSS Tunnel  XSS Shell  Alternative à BeEF  Application en 3 parties  Le serveur (IIS)  L’interface d’administration (IHM)  Le clients (ou zombies)  XSS Tunnel  Utilisation d’un zombie du shell comme proxy SRS EPITA - 17 novembre

XSS Shell - Fonctionnement  Le serveur  Il centralise les connections des victimes et leur transfert les commandes  Il s’appuie sur un serveur IIS et une base de données Ms Access  L’interface d’administration  Elle permet l’envoie de commandes  Côté client  Un fichier javascript exécuter par le navigateur de la victime SRS EPITA - 17 novembre AvantagesInconvénients Interface graphiqueServeur IIS (=> pas portable) Base de données

XeeK - XSS Easy Exploitation Kernel  Framework d’exploitation de failles XSS (alternative a BeEF ou XSS Shell)  Projet récent (débuté en 2008), en cours de développement.  Développé par un français  A été créé dans le but de rajeunir les outils existants et vieillissants en cumulant leurs avantages  Développé en PHP/Python SRS EPITA - 17 novembre

XeeK - XSS Easy Exploitation Kernel SRS EPITA - 17 novembre AvantagesInconvénients PortableProjet non terminé, développement lent (on doit se contenter de quelques exploits basics et d’une interface console). Base de données Architecture client/serveur Projet modulaire tant au niveau de l’interface client/serveur (ajout d’une interface graphique possible) que de l’ajout de nouveaux exploits. Exploits à jour, pour navigateurs récents.

Recommandations  Côté serveur  Ne jamais faire confiance aux utilisateurs  Ne pas oublier de filtrer les listes déroulantes  Filtrage  Htmlentities, verification des entiers  Filtrage par liste blanche  Maintenir les frameworks utilisés à jour  Pour des applications non maitrisées utiliser un relais inverse avec du filtrage applicatif (mod_security pour Apache par exemple) SRS EPITA - 17 novembre

Recommandations  Côté client  Pour une utilisation normale  Vérifier la correspondance entre le site et son url  Vérifier les liens qui nous sont envoyés  Pour aller plus loin  Vérifier les connexions qu’effectuent les scripts avec d’autres sites (avec firebug par exemple)  Utiliser des plugins bloquant les scripts (NoScript par exemple pour Firefox)  Désactiver le javascript! SRS EPITA - 17 novembre

Conclusion  Vulnérabilités XSS sous-estimées car exécution côté client  Exploitation entièrement automatisée  Impacts importants (vol d’informations au réseau de botnet)…  … et croissants, avec l’arrivée de l’HTML 5 SRS EPITA - 17 novembre

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.