Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23.

Présentation au sujet: "Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23."— Transcription de la présentation:

1 Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23

2 19 avril 2015Ingi 2591 Plan de l’exposé Rappel Whisker et attaques web Attaque choisie Règles proposées Règle choisie Critique des règles Résultats

3 19 avril 2015Ingi 2591 Rappel Whisker et attaques web Webscanner –requêtes http –différents types de contournement d’IDS « Keep in mind that tools are not evil, but rather the people running them. Whisker was designed and bred to fulfill a legitimate security assessment need; use for illegal purposes is not intended, nor implied with this tool. »

4 19 avril 2015Ingi 2591 Attaque choisie FormMail (Matt’s Script Archive)Matt’s Script Archive Fonctionnement normal : –«... generic WWW form to e-mail gateway, which will parse the results of any form and send them to the specified user... » –Principe recipient : destinataire et auteur de la page dans une utilisation normale env_report : variables d’environnement transmises à « recipient »

5 19 avril 2015Ingi 2591 Attaque choisie : suite Fonctionnement détourné : –Envoyer des variables d’environnement à l’attaquant –Principe recipient : adresse mail de l’attaquant env_report : variables d’environnement transmises à l’attaquant

6 19 avril 2015Ingi 2591 Règles proposées Alerter chaque requête à FormMail (lien interne vers arachnids) alert TCP any any -> $HOME_NET 80 (content: "formmail"; msg: "My-Formmail- Attack"; flags: PA;) Alerter chaque requête contenant « env_report » alert TCP any any -> $HOME_NET 80 (content: "env_report"; msg: "My-Formmail- Env_Report-Attack"; flags: PA;)

7 19 avril 2015Ingi 2591 Règle choisie Alerter chaque requête à FormMail et contenant « env_report » (lien interne vers arachnids) alert tcp any any -> $HOME_NET 80 (content-list: groupe2- list; msg: "My Formmail-Env Attack"; flags: PA;) Avec 'groupe2-list' : #groupe 2 formmail env_report #fin groupe 2

8 19 avril 2015Ingi 2591 Critique des règles Inefficaces contre : –URL encoding –Session Splicing Réponse apportée : –Préprocesseur « HTTP Decode » –Ajout de la règle existante pour le « session splicing » : insérer arachnids

9 19 avril 2015Ingi 2591 Critique des règles : suite recipient « False positives » env_report : alerter chaque fois peut être inutile pour certaines variables d’environnement (REMOTE_HOST…)… session splicing : test avec telnet ou fin de fichier « False negatives » Session splicing avec plus de 5 caractères (et maximum de 8)… … mais le nombre de ces caractères peut être revu –si 8, risque d ’augmentation de « false positives »

10 19 avril 2015Ingi 2591 Résultats Attaque avec tous les modes d’évitement Détection par Snort de chaque cas en régime isolé