Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23
19 avril 2015Ingi 2591 Plan de l’exposé Rappel Whisker et attaques web Attaque choisie Règles proposées Règle choisie Critique des règles Résultats
19 avril 2015Ingi 2591 Rappel Whisker et attaques web Webscanner –requêtes http –différents types de contournement d’IDS « Keep in mind that tools are not evil, but rather the people running them. Whisker was designed and bred to fulfill a legitimate security assessment need; use for illegal purposes is not intended, nor implied with this tool. »
19 avril 2015Ingi 2591 Attaque choisie FormMail (Matt’s Script Archive)Matt’s Script Archive Fonctionnement normal : –«... generic WWW form to gateway, which will parse the results of any form and send them to the specified user... » –Principe recipient : destinataire et auteur de la page dans une utilisation normale env_report : variables d’environnement transmises à « recipient »
19 avril 2015Ingi 2591 Attaque choisie : suite Fonctionnement détourné : –Envoyer des variables d’environnement à l’attaquant –Principe recipient : adresse mail de l’attaquant env_report : variables d’environnement transmises à l’attaquant
19 avril 2015Ingi 2591 Règles proposées Alerter chaque requête à FormMail (lien interne vers arachnids) alert TCP any any -> $HOME_NET 80 (content: "formmail"; msg: "My-Formmail- Attack"; flags: PA;) Alerter chaque requête contenant « env_report » alert TCP any any -> $HOME_NET 80 (content: "env_report"; msg: "My-Formmail- Env_Report-Attack"; flags: PA;)
19 avril 2015Ingi 2591 Règle choisie Alerter chaque requête à FormMail et contenant « env_report » (lien interne vers arachnids) alert tcp any any -> $HOME_NET 80 (content-list: groupe2- list; msg: "My Formmail-Env Attack"; flags: PA;) Avec 'groupe2-list' : #groupe 2 formmail env_report #fin groupe 2
19 avril 2015Ingi 2591 Critique des règles Inefficaces contre : –URL encoding –Session Splicing Réponse apportée : –Préprocesseur « HTTP Decode » –Ajout de la règle existante pour le « session splicing » : insérer arachnids
19 avril 2015Ingi 2591 Critique des règles : suite recipient « False positives » env_report : alerter chaque fois peut être inutile pour certaines variables d’environnement (REMOTE_HOST…)… session splicing : test avec telnet ou fin de fichier « False negatives » Session splicing avec plus de 5 caractères (et maximum de 8)… … mais le nombre de ces caractères peut être revu –si 8, risque d ’augmentation de « false positives »
19 avril 2015Ingi 2591 Résultats Attaque avec tous les modes d’évitement Détection par Snort de chaque cas en régime isolé