Leyou - IT Security

Une étude de la société BREACH sur les attaques d’applications web en 2007.

Il détail les méthodes d’attaque, les types d’attaque, les types de vulnérabilité utilisés, les cibles, …

> A voir : Rapport

Une lecture intéressante sur un projet de développement de firewall pour applications Web.

A suivre

WebAppSec

ModSecurity

Note : Le premier document date un peu mais ça reste intéressant.

Edit :  Un autre outil intéressant, PHPIDS.
Il vérifie à l’aide de plusieurs règles si les valeurs passées par GET, POST, COOKIE, ou autres sont susceptibles d’être des attaques.
Pour plus d’infos : http://www.php-ids.org. Une démo est même disponible.

Dernièrement je suis tombé sur une base de données qui trainait dans la nature contenant 269 478 noms d’utilisateurs accompagnés de leurs mots de passe. Cette base de données provient d’un site populaire en rapport à un jeux multijoueur très en vogue actuellement. Ce site touche donc un public standard, pas plus renseigné qu’un autre internaute lambda, sur la protection des mots de passe.

Lors d’un enregistrement sur ce site, il n’y a aucune limite de longueur minimale ou maximale et les principaux caractères spéciaux sont autorisés.

Je me suis donc amusé à faire quelques stats & quelques tests pour mieux cerner le crackage de mots de passe. En voici la présentaiton.

Lire la suite »

… même sur w3.org.

En effet, le site officiel du WorldWide Web Consortium est vulnérable à cette faille :
http://www.php-security.org/MOPB/MOPB-08-2007.html

With PHP 4.4.3 a previously fixed bug that was disclosed at the end of October 2005 by the
Hardened-PHP Project was reintroduced. Again phpinfo() does not escape the content of user
supplied arrays in GET, POST or COOKIE variables when it displays them which leads to an
XSS vulnerability.

Par contre vu la taille du site, bonne chance pour trouver la localisation de la XSS

Il y a peu temps je cherchais à faire fonctionner John The Ripper avec l’md5 (et pas en format FreeBSD). Je n’avais alors pas trouvé grand chose mais voici que je tombe peu de temps après sur cette page :
http://planet-websecurity.org/Teaching+John+The+Ripper+how+to+Crack+MD5+Hashes/

Voici donc le récapitulatif des commandes à exécuter sous linux pour tester vos md5 avec John The Ripper :

> mkdir john
> cd john
> wget http://www.openwall.com/john/f/john-1.7.2.tar.bz2
> bunzip2 john-1.7.2.tar.bz2
> tar -xvf john-1.7.2.tar

> cd john-1.7.2
> wget ftp://ftp.openwall.com/pub/projects/john/contrib/john-1.7-rawmd5-ipb2-4.diff.gz

> gzip -d john-1.7-rawmd5-ipb2-4.diff.gz
> patch -p1 < john-1.7-rawmd5-ipb2-4.diff 

> cd src
> make
> make clean linux-x86-sse2  

> cd ../src/
> ./john –test 

Note

• (Vous pouvez vérifier par quelques screenshots, cependant la page suivante est en espagnole : http://www.gurx.net/index.php?sec=documentacio&element=28)
• Pensez à installer “patch” avant. (apt-get install patch)

Voici un briefing non exaustif, sous forme de plan, de manière à récapituler tout ce qui pourrait être prochainement étudié ou résumé sur ce blog. Certains thèmes sont déjà assez vus & revus, mais j’essaierais de m’interesser à des aspects peu connus & plus avancés.

• Techniques d’Attaques
  • Stored/Reflected XSS
  • SQL Injection
  • Code Injection
  • Attaque par redirection
  • XSRF
  • HTTP Header Injection
  • Injection SOAP
  • Injection SMTP
  • Attaque de hashes/mots cryptés/Session token.
  • Remote File Inclusion / Local File Inclusion
  • Peut-être : XPath, LDAP Injection
  • Attaque d’applications compilées : Stack/Heap/Integer Overflow, Off-by-one, Format String
• Utilisation d’outils
  • Nessus
  • Nikto
  • Metasploit
  • Etudes de scanneurs de vulnérabilités
  • Fuzzers
• Divers
  • Identifier les entrées
  • Analyse de codes sources (PHP)
  • Récapitulatif de la sécurisation d’un site

Comme promis, voici la liste des outils dont je me servirais le plus régulièrement sur linux. Bon, déjà on ne compte pas les tools du type : ping, telnet, … et que sais-je.

Pour les extensions firefox, voir : http://blog.kreativ-project.com/?p=4

• Nessus
• Nikto
• Metasploit (Framework d’exploit)
• THC Amap (fingerprinting)
• Spike (fuzzer)
• Ethereal (sniffeur)
• Hping (forgeur de paquet)
• Burp Suite
• WebScarab
• Netcat (Connection réseau)
• Nmap (Le fameux scanneur de ports & fingerprinter)

Afin d’évoluer dans ce petit monde affectueux de la sécurité informatique, je vous propose la réalisation d’audits de sécurité gratuit.

Ce tests visent à évaluer les vulnérabilitées pouvant exister dans vos applications web et à vous proposer une solution afin d’optimiser la sécurité de vos sites web. Avec rapport détaillé.

Pour plus d’informations : Test d’Intrusion Gratuit

Voici un aperçu de ce à quoi ressemble mon nouveau bureau Ubuntu Gutsy Gibbon, qui lui ne m’a pas posé de soucis par rapport à son frère Kubuntu…
Pour infos je me suis servis de : Compiz Fusion & Emerald

Voici mon rassemblement de flux RSS, divisé en trois parties :

Pour les news : http://www.google.fr/reader/shared/user/10086277851502083607/label/News

Pour les blogs francophones : http://www.google.fr/reader/shared/user/10086277851502083607/label/Blog%20S%C3%A9cu%20FR

Pour les blogs anglophons : http://www.google.fr/reader/shared/user/10086277851502083607/label/Blog%20S%C3%A9cu%20En