Oracle du point de vue de l'intrus

Dimension: px
Commencer à balayer dès la page:

Download "Oracle du point de vue de l'intrus"

Transcription

1 Oracle du point de vue de l'intrus Wojciech Dworakowski Le slogan publicitaire d'oracle en 2002 était : Oracle The Unbreakable. Est-ce vrai? Attaque L 22 es produits Oracle dominent le marché des bases de données. Plusieurs services de fourniture d'accès à des données fonctionnent sur cette plate forme (aussi via Internet). Ces bases sont également très populaires au sein des entreprises. Le slogan publicitaire d'oracle en 2002 était : Oracle The Unbreakable. Est-ce vrai? Dans le présent article, je tenterai de vous montrer les dangers dus aux installations standard des produits Oracle. Tout d'abord, je tiens à souligner que je n'ai pas l'intention de viser particuliérement la société Oracle, de désavouer ses démarches marketing ou de suggérer que DBMS Oracle est dangereux ou troué comme une écumoire. Mon objectif est plutôt de démontrer que chaque produit est exposé aux fautes des développeurs et concepteurs quels qu'ils soient, et quoi qu'on dise dans la publicité. Oracle 9i est un bon produit de base de données dont la participation au marché devient de plus en plus importante. Mais les grandes entreprises et les produits renommés peuvent avoir aussi des défauts. Il ne faut pas oublier ce fait et croire naïvement aux slogans publicitaires. Non sans raison, la devise de l'agence Nationale de Sécurité des Etats Unis est : nous ne croyons qu'en Dieu tout autre chose doit être vérifiée. Toutes les erreurs décrites concernent l'installation standard. Il est possible de les éviter grâce à l'utilisation des correctifs et des prescriptions de l'éditeur, ou bien en supprimant la fonctionnalité excessive dans les installations de production. La première partie de l'article concerne les attaques possibles à partir du réseau local. Généralement, je me concentrerai sur les imperfections du service Listener. Dans la deuxième partie, je décrirai quelques dangers liés aux serveurs d'applications Internet établies à partir d'oracle. Cette dernière partie s'intéressera principalement aux modules du service Apache, intégré dans les solutions Oracle. Professionnellement, je ne m occupe pas d administration de serveurs Oracle. Mon travail est lié plutôt à l analyse de la sécurité des systèmes IT (tests de pénétration, consultation de la configuration). Pour cela, le présent article sera écrit plutôt du point de vue de l attaquant que de l administrateur. L article constitue la récapitulation de plus de deux ans d expériences dans les tests des systèmes de sécurité Oracle. La plupart des informations proviennent des ressources disponibles sur Internet.

2 Oracle du point de vue de l intrus Listing 1. Réception des informations sur le système commande TNS status tnscmd status -h p 1521 sending (CONNECT_DATA=(COMMAND=status)) to :1521 connect writing 89 bytes DESCRIPTION= TMP= VSNNUM= ERR=0 ALIAS=LISTENER SECURITY=OFF VERSION=TNSLSNR for Solaris : Version Production START_DATE=28-OCT :22 :44 SIDNUM=1 LOGFILE=/opt/oracle/8i/network/log/listener.log PRMFILE=/opt/oracle/8i/network/admin/listener.ora TRACING=off UPTIME= SNMP=OFF Un peu d'histoire Les produits de la société Oracle furent longtemps considérés comme des applications exemptes d'erreurs importantes liées à la sécurité. Cette opinion résultait probablement du faible intérêt accordé par les chercheurs à ces types de produits, à cause de leur accessibilité insuffisante. Pour avoir accès aux versions complètes des systèmes DBMS de la société Oracle, il fallait acheter les licences très chères. Tout a changé au moment où Oracle a commencé à rendre accessible les versions complètes sur Internet. Ces versions peuvent être utilisées pour le développement et les tests. Depuis à peu près deux ans, nous pouvons observer que ces produits captent l'intérêt des spécialistes qui s'occupent des tests de sécurité des applications et de la recherche des erreurs. Ce fait a changé l'idée de l'éditeur sur les problèmes de sécurité liés au code des produits. Auparavant, Oracle voyait la sécurité seulement à travers les mécanismes de protection des données dans l'application. En 2002 Oracle a publié plus de 20 informations sur les risques dans ses produits. De plus, les distributions standard d'oracle contiennent les composants Open Source, comme, p.ex. Apache qui, eux mêmes, peuvent comprendre des erreurs. Oracle Listener Voici tout d'abord, quelques informations essentielles sur le programme Oracle Listener. Il s'agit d'un composant responsable, avant tout, de la communication entre les clients et le serveur Oracle (il gère aussi la communication entre les serveurs). C'est un élément de chaque installation d'oracle DBMS. Listener est un processus agissant sur le serveur de base données dont la tâche consiste à recevoir les commandes des clients. Dans les systèmes Unix, ce processus s'appelle tnslsnr. Dans les systèmes Windows le service approprié Listener écoute les commandes sur le port TCP Pour la communication entre Oracle Client et Listener, on utilise le protocole TNS (Transparent Network Substrate). Les attaques les plus menaçantes liées à Oracle Listener n'exigent pas de la part du pirate un savoirfaire spécial. Ce n'est pas un débordement du tampon classique ou autres erreurs types commises par les programmeurs (pourtant, nous pouvons aussi en trouver). Les faiblesses les plus importantes de Listener résultent probablement des mauvais principes adoptés lors de la conception du programme. En un mot : It s not a bug It s a feature. Mais passons maintenant aux faits concrets. Pour attaquer Oracle Listener, on peut utiliser un simple script perl appelé tnscmd. Il est accessible sous tnscmd. Ce script permet de passer des commandes au protocole TNS. Comment s'informer sur le système Par défaut, Oracle Listener reçoit des commandes de n'importe qui et n'exige aucune autorisation. Cette situation peut évidement conduire à des abus. Premièrement, un utilisateur quelconque du réseau qui est capable de se connecter au port de Listener 1521 TCP, peut obtenir beaucoup d'informations sur le système. Il utilisera pour cela les commandes version et status du protocole TNS : tnscmd version -h adresse_du_serveur -p 1521 tnscmd status -h adresse_du_serveur -p 1521 Listener répond à ces requêtes en révélant, entre autres : la version précise d'oracle, le type de système d'exploitation, le temps écoulé depuis le lancement de l'instance d'oracle, les chemins d'accès aux fi chiers journaux, les options de Listener (p.ex. l'état de l'option security), le type de services d'oracle gérés par Listener, les arguments de l'appel, l'environnement complet (valeurs de toutes les variables système) dans lequel Listener a été lancé. Un exemple de la réception de certaines informations est présenté dans le Listing

3 Listing 2. Remplacement d'un fi chier quelconque auquel l'utilisateur oracle a l'accès (dans ce cas, c'est le fi chier.rhosts dans le répertoire personnel de l'utilisateur oracle) -h oracle_server --rawcmd (DESCRIPTION= (CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=)) (COMMAND=log_file)(ARGUMENTS=4) (SERVICE=LISTENER) (VERSION=1) (VALUE=/home/oracle/.rhosts)))" sending (DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=))(COMMAND=log_file)(ARGUMENTS=4)(SERVICE=LISTENER) (VERSION=1)(VALUE=/home/oracle/.rhosts))) to oracle_server :1521 writing 205 bytes reading.m..."..a(description=(tmp=)(vsnnum= )(err=0)(command=log_file)(logfilename=/home/oracle/.rhosts)) Attaque Ces données peuvent servir à la préparation de l'attaque effi cace contre le système d'exploitation ou contre les programmes Oracle. Attaque simple DoS La confi guration standard permet d'effectuer une attaque denial of service banale sur l'oracle Listener. L'option SECURITY=OFF (voir Listing 1) nous informe qu'il est possible de passer des commandes au Listener sans aucune autorisation. Par défaut, l'accès au niveau de l'administrateur du Listener n'est pas protégé par aucun mot de passe, aussi un intrus potentiel peut sans problème donner la commande : tnscmd stop -h oracle_server -p 1521 Listener, sans un mot, terminera la session. C'est une attaque Denial of Service (DoS) très simple. L'intrus n'a pas réussi à accéder ni au système ni aux données, mais il a empêché son utilisation. Pour se protéger contre ce type d'attaque, il faut défi nir l'option security dans le Listener et un mot de passe protégeant les commandes d'administration. Remplacement d'un fichier quelconque Le processus de Listener (tnslsnr) enregistre tous les événements dans un journal (log). L'emplacement de ce log est déterminé par l'administrateur. Mais grâce à la commande du protocole TNS status, dont nous avons parlé précédemment, il est possible de lire le chemin d'accès. Dans le Listing 1, c'est la valeur de la variable LOGFILE. Pour aller plus loin à l'aide de la commande appropriée TNS, on peut changer l'emplacement du fichier journal. De plus, Listener prend aveuglément chaque valeur, n'importe si le fichier spécifié existe (dans ce cas, il est remplacé), ou pas (dans ce cas, il est créé). En effet, l'intrus qui est capable de se connecter au port 1521 du serveur Oracle peut remplacer ou créer un fichier quelconque auquel le processus Oracle Listener possède les droits. Par défaut, dans les systèmes Unix, c'est l'utilisateur oracle, et dans les systèmes Microsoft l'utilisateur LOCAL_SYSTEM (sic!). De cette façon, l'intrus peut endommager les fichiers des bases de données, fichiers de configuration ou même binaires d'oracle. Le script tnscmd permet de saisir directement des chaînes de caractère qui feront partie de la commande TNS. Si l'on connaît un peu ce protocole, il est possible de définir la commande de modification du fichier journal. Exemple réorientation des logs vers le fichier /home/oracle/.rhosts est présenté dans le Listing 2. Exemple d'un scénario de l'attaque reprise du contrôle sur la base Après la redirection des logs vers un fi chier quelconque, toutes les informations enregistrées par Oracle Listener seront sauvegardées dans ce fi chier. Listener n'enregistre pas dans les logs beaucoup d'informations, par exemple, il n'enregistre pas de l'adresse IP ni le nom de l'hôte à partir duquel la connexion est parvenue. Donc, l'intrus qui s'attaque à l'oracle par une des méthodes ci-dessus, ne sera pas dévoilé au moyen des logs de Listener. Mais le log enregistre toutes les informations Listing 3. Utilisation de listener pour saisir ses propres données dans un fi chier quelconque -h oracle_server \ --rawcmd "(CONNECT_DATA=(( wojdwo " sending (CONNECT_DATA=(( wojdwo to oracle_server :1521 writing 93 bytes reading.$..."..(description=(err=1153)(vsnnum= ) (ERROR_STACK=(ERROR=i(CODE=1153)(EMFI=4) (ARGS='(CONNECT_DATA=(( wojdwo')) (ERROR=(CODE=303)(EMFI=1)))) 24

4 Oracle du point de vue de l intrus sur les erreurs, avec la citation de la commande incorrecte. Cela permet de saisir dans le fi chier les informations souhaitées par l'intrus, ce qui, dans certains circonstances peut amener à la reprise du contrôle sur le système. Au-dessous, je présente le scénario de l'attaque basé sur la saisie de l'information respective dans le fi chier.rhosts et l'utilisation du service rlogin. Attention : le scénario ci-dessous n'est qu'un exemple. Les erreurs présentées permettent de mieux pénétrer dans les systèmes. Au début, l'intrus donne la commande à Listener à l'aide du programme tnscmd, la commande TNS ordonne à Listener sur le serveur oracle_server le changement du fi chier journal en /home/oracle/.rhosts (Listing 2). Comme on peut voir dans la suite du listing, le listener sur le serveur oracle_server a effectué cette commande. Désormais, toutes les enregistrements concernant le fonctionnement du listener parviendront au fi chier /home/oracle/.rhosts. Dans les systèmes Unix, le fi chier.rhosts dans le répertoire personnel de l'utilisateur enregistre les comptes distants et les noms ou adresses IP des hôtes qui peuvent se connecter au système sans aucune authentifi cation par les services rlogin, rsh, rcmd. L'objectif de l'intrus consiste à saisir dans ce fi chier son nom et adresse IP de l'hôte. Comme nous avons déjà dit, listener enregistre dans les logs les informations sur les erreurs, avec l'avertissement sur la commande incorrecte. Il est possible d'utiliser ce fait pour saisir notre adresse IP et le nom de l'utilisateur dans le fi chier.rhosts (Listing 3). Il est important que les données saisies soient placées dans une ligne séparée. Nous voyons que listener a retourné le message d'erreur, pourtant il a saisi dans ses logs, c'est-à-dire dans le fi chier /home/oracle/.rhosts, toute la ligne avec la commande incorrecte. En ce moment, le fi chier /home/oracle/.rhosts (le log courant de Listener) se présente comme sur le Listing 4. L'intrus a profité des imperfections d'oracle Listener pour saisir la ligne wojdwo dans le fichier.rhosts. Elle sera correctement interprétée par le système, en Listing 4. Contenu du fi chier /home/oracle/.rhosts après son remplacement par Oracle Listener 12-SIE :44 :05 * log_file * 0 12-SIE :44 :37 * service_register * ora1 * 0 12-SIE :44 :58 * 1153 TNS : Failed to process string : (CONNECT_ DATA=(( wojdwo NL : syntax error in NV string Listing 5. A la suite de l'attaque, il devient possible de se loguer à distance dans le système avec les droits d'utilisateur Oracle rlogin -l oracle oracle_server Linux oracle_server Mon Aug :46 :15 EST 2002 i686 unknown :~$ id uid=1001(oracle) gid=103(oinstall) groups=103 (oinstall),104(dba),105(oper) effet, l'intrus pourra se loguer à distance comme utilisateur oracle, sans aucune authentification. Listing 5 démontre la connexion à distance avec le serveur oracle_server et l'acquisition des droits d'utilisateur Oracle. En récapitulant : l'intrus qui agit à distance a réussi, par des manipulations appropriées sur le serveur Oracle Listener, à obtenir les droits d'utilisateur oracle dans le système d'exploitation. Bien sûr, ce scénario n'est possible que si le système d'exploitation donne la possibilité de se loguer à distance par rlogin et utilise les fi chiers.rhosts pour autoriser les utilisateurs distants (confi guration standard dans la plupart des systèmes Unix). Comme j'ai déjà dit auparavant, ce n'est qu'un exemple. Nous pouvons préparer une attaque semblable qui permet de manipuler les clés ssh, et en effet, donne l'accès aux système via ssh. Les attaques semblables peuvent être effectuées sur l'oracle fonctionnant sur les plates-formes Windows. Ces dernières pourraient s'avérer plus effi caces et dangereuses non seulement pour la base de donnée, mais aussi pour le système même puisque l'intrus obtient les droits Local System. Les dangers décrits ci-dessus sont autant importants qu'ils arrivent jusqu'au maintenant, dans toutes les versions Oracle contenant Oracle Listener, y compris la nouvelle version, bien que les risques soient connus depuis Le patch édité par l'oracle (# ) implémente dans le fi chier de confi guration de Listener (listener.ora) un paramètre supplémentaire ADMIN_ RESTRICTIONS. L'activation de ce paramètre empêche la reconfi guration dynamique à distance du listener. Pourtant pour garder la cohérence par défaut, ce paramètre est désactivé. Autres erreurs intéressantes du Listener Comme j'ai déjà dit, les erreurs présentées ci-dessus sont d'autant intéressant qu'elles ne résultent pas de la négligence des programmeurs, mais elles ont été commises dans la phase de l'établissement du projet. Bien sûr, l'oracle Listener n'est pas libre des risques plus traditionnels qui résultent p.ex. du manque de validation des données d'entrée. Les informations 25

5 Attaque sur les autres erreurs sont disponibles sur la page et dans le Bulletin de Sécurité d'oracle que je rédige et qui apparaît régulièrement dans la revue du Groupe Polonais des Utilisateurs d'oracle. Elle est disponible sous l'adresse que vous trouverez à la fi n de cette article (encadrement Dans le réseau). Au-dessous, je voudrais présenter deux dangers qui sont particulièrement intéressants. Les deux sont déjà corrigés par l'éditeur (il existe des patches appropriés). Une erreur intéressante (un exemple de son utilisation est présenté dans le Listing 6) commise par les programmeurs d'oracle Listener est une erreur permettant de révéler l'information transmise dans la connexion précédente d'un autre utilisateur avec listener. L'erreur du programmeur consiste probablement à ce que le tampon qui reçoit les messages n'est pas purgé après chaque connexion. En effet, si l'on défi nit dans le paramètre convenable la longueur de la commande TNS supérieure à la longueur réelle (oracle _ server --cmdsize 30), on est capable de lire la partie de la commande donnée à listener par l'utilisateur précédent (COMMAND=status). Une autre erreur intéressante est liée à la commande SERVICE _ CURLOAD. Pour envoyer cette commande, on peut utiliser le programme : tnscmd -h rawcmd \ "(CONNECT_DATA=(COMMAND=SERVICE_CURLOAD))" A la suite de cette commande, le processus du listener (tnslsnr) consomme 99% de temps du processeur. Et encore une fois, l'attaque denial of service banale. Oracle Listener remarques Les attaques présentées ci-dessous liées à l'oracle Listener exigent que l'intrus puisse communiquer avec ses processus. Il doit avoir la possibilité d'envoyer les paquets sur le port 1521/tcp. Par cela, la plupart des administrateurs négligent ces dangers Listing 6. Manipulation du protocole TNS ; en effet, listener dévoile le fragment de la commande précédente \ --rawcmd " " -h oracle_server --cmdsize 30 sending to oracle_server :1521 Faking command length to 30 bytes writing 59 bytes reading..."...(description=(err=1153)(vsnnum= ) (ERROR_STACK=(ERROR=(CODE=1153)(EMFI=4) (ARGS='CONNECT_DATA=(COMMAND=status)')) (ERROR=(CODE=303)(EMFI=1)))) parce qu'ils croient que les pare-feu bloquent efficacement le trafic par ce port (port des serveurs de bases de données). Comment c'est efficace, nous avons pu voir à la fin janvier 2003 pendant l'attaque du virus Slammer (Sapphire) qui attaquait justement les serveurs MS-SQL. Outre cela, la plupart des intrus n'attaquent pas de front. Au lieu d'essayer attaquer directement le serveur Oracle, il est plus facile de reprendre le contrôle sur une station de travail dans le réseau attaqué et, à partir de ce poste, s'attaquer à l'oracle Listener. Bien sûr, il existe de possibilités de se protéger au moins partiellement contre ces types de dangers. Premièrement, nous pouvons activer dans listener l'option security et déterminer un mot de passe. Ensuite, nous pouvons défi nir les adresses IP qui peuvent se connecter au listener (directives tcp.validnode _ checking et tcp.invited _ nodes) et interdire la modifi cation dynamique des fi chiers de confi guration (p. ex. logs) en activant l'option ADMIN _ RESTRICTIONS. D'Apache à Oracle Dans les dernières années, très souvent, les informations sont mises à disposition à travers les pages WWW connectées aux bases de données. Dans une telle architecture, du côté du serveur WWW, certaines méthodes dynamiques (p. ex. PHP, ASP, JSP)sont lancées. Elles chargent les données à partir de la base de donnée et génèrent les pages WWW. Le tout constitue l'application web. Le client de cette application devient, bien sûr, le navigateur WWW. Oracle et autres éditeurs des produits de bases de données ont apprécié cette mode et ils ont permis l'accès aux données à travers les navigateurs WWW. Dans le cas d'oracle, le serveur WWW est Oracle HTTP Listener. C'est la deuxième (outre le Listener standard) façon de communiquer avec le serveur Oracle, et, de cela, des attaques potentielles peuvent parvenir aussi de ce côté. L'Oracle HTTP Listener est un serveur connu Apache de série 1.3.x avec les modules ajoutés par Oracle. Ces modules l'intègrent avec Oracle DBMS. Le code exécuté du côté de serveur peut être créé à l'aide de différentes méthodes. Les plus importantes sont, à savoir : PL/SQL langage de procédure d'oracle ; son interprétation dans le cas des scripts server-side est effectuée par le module mod_plsql. Les Scripts JSP et servlets Java gérés par JServ (mod_jserv lié statiquement avec Apache) ou Oracle Containers for Java (OC4J). On peut dire que s'il s'agit des serveurs de l'application, Oracle préfère Java. De cela, ces méthodes sont enrichies par les possibilités intéressantes, p. ex. XSQL intégration avec XML, ou bine SQLJ exécution directe des requêtes SQL de l'intérieur des scriptes Java. 26

6 Oracle du point de vue de l intrus D'autres méthodes traditionnelles, comme p. ex. scripts CGI ou Perl (mod_cgi et mod_perl sont activés par défaut). De plus, Oracle met à disposition une quantité de technologies supplémentaires, comme par exemple, tamponnage avancé des pages dynamiques (Oracle Web Cache), trame pour la création des portails (Oracle Portal), implémentations WebDAV et autres. Il est facile de deviner que la plupart de ces modules supplémentaires possèdent une liste de risques considérable. C'est une situation typique pour des programmes à développement rapide. Bien sûr, dans l'installation standard, la plupart de ces suppléments sont actifs. Comme la pratique l'indique, peu d'installations de production ont une confi guration différente de l'installation standard. De plus les administrateurs, n'étant pas capables de savoir tout sur tous les composants avancés, préfèrent de les laisser que s'exposer à la déstabilisation du serveur. Et encore une fois nous pouvons appliquer un vieux principe selon lequel la sécurité est inversement proportionnelle aux fonctionnalités disponibles dans le programme. Dans la suite de cet article, je voudrais présenter quelques exemples d'attaques intéressantes qui utilisent les trous dans les modules Oracle HTTP Listener. Tous les dangers décrits peuvent être supprimés grâce aux patches appropriés de l'éditeur. C'est ce qui caractérise ces erreurs c'est leur trivialité. De plus, elles ont été toutes révélées dans la dernière année. Révélation du code source des scripts JSP Java Server Pages (JSP) c'est une des méthodes permettant au serveur de générer les pages WWW avec un contenu dynamique constitué par les informations prises à partir de la base de données. Quant le client (navigateur WWW) demande la page à extension.jsp, par défaut, le serveur recherche le code java approprié, le compile et ensuite, l'exécute. Comme résultat, nous obtenons la page HTML dans le navigateur. Lors de ce processus, dans le répertoire /_pages du serveur WWW, les fichiers temporaires sont créés. Un de ces fichiers, à extension java, contient le code source du script exécuté. Dans la confi guration standard d'apache distribué avec Oracle, le répertoire /_pages est mis à disposition par le serveur. Grâce à cela, l'intrus peut lire le code source des pages JSP gérées par le serveur. Exemple : En premier pas, il faut lancer le script JSP que l'on veut attaquer JSP, pour que le serveur charge et compile le code : Maintenant, on peut lire le code source du script JSP se référant au fi chier approprié disponible dans le répertoire /_pages : _ConnBeanDemo.java Afi n de se défendre contre une telle attaque, il suffi t d'interdire l'accès au répertoire /_pages dans les paramètres d'apache. Tous les scripts JSP doivent aussi être stockés sous forme pré compilée. Ainsi, on évite la compilation des scripts au moment où ils sont accessibles, ce qui peut s'avérer dangereux, et de plus, cela permet d'améliorer l'effi cacité du système. Scripts de démonstration Beaucoup de dangers sont liés aux scripts de démonstration des fonctionnalités d'oracle comme serveur d'application, inclus dans l'installation standard d'oracle. Ces scripts se trouvent dans le répertoire /demo. Plusieurs de ces exemples ne sont pas de bons exemples à suivre, en particulier, s'il s'agit des principes de programmation sure. Le nombre important de scripts de démonstration, le chargement des données de la base à partir des variables provenant de l'utilisateur, tout cela nous expose aux attaques de type SQL injection. Les principes d'administration imposent la suppression des serveurs de production toutes les fonctionnalités superfl ues et leur contenu, pourtant l'exposition de scripts de démonstration est très fréquente dans les installations de production (c'est très courant dans le cas des serveurs de développement mis à disposition sur Internet). Prenons, par exemple, le script /demo/sql/tag/ sample2.jsp. Ce scripte est une interface à la table contenant les données sur les revenus dans une société imaginaire. Ce script affi che dans le navigateur un formulaire WWW dans lequel l'utilisateur saisit une requête. Par exemple, s'il saisit sal=800, la requête suivante est exécutée : select ename,sal from scott.emp where sal=800. Le problème est que la requête est faite à la suite d'une simple action consistant à coller la chaîne de caractères chargée à partir d'un utilisateur, sans aucune validation. L'intrus peut utiliser ce script pour lire les données quelconques de la base auxquelles l'utilisateur du script sample2.jsp (par défaut, l'utilisateur SCOTT) a les droits d'accès, y compris les données système. Par exemple la saisie de la chaîne de caractères sal=800 union select username,userid from all_users exécute la requête select ename,sal from scott.emp where sal=800 union select username,userid from all_users. Si nous parlons à propos des attaques par la méthode SQL-injection, il est juste de rappeler que dans le cas d'oracle, il n'est pas possible d'ajouter après le point- 27

7 virgule la commande séparée SQL, comme cela est fait dans le cas de PostgreSQL ou MS-SQL. La technique la plus utilisée (comme dans l'exemple ci-dessus) c'est l'ajout de sa partie de la requête par UNION SELECT. Interfaces d'administration Des attaques très simples mais aussi très effi caces peuvent être effectuées à l'aide des interfaces d'administration à travers WWW. Dans l'installation standard d'oracle, la grande partie des pages d'administration n'exigent pas d'authentifi cation (sic!). Les adresses de quelques pages de ce type sont présentées ci-dessous : Module mod_plsql Le module Apache mod_plsql sert à interpréter sur le serveur WWW le code PL/SQL qui est un langage natif des bases Oracle. Ce module contient également plusieurs erreurs classiques. Une d'elles c'est le débordement du tampon d'entrée dans le script servant à affi cher l'aide. L'envoi de la commande de type : AAAAAAAA...(>1000 de caractères) via Internet, à l'aide de mod_plsql. La syntaxe de l'appel de la procédure PL/SQL par le serveur WWW se présente ainsi : _procédure DAD (ang. Database Access Descriptor) c'est une structure décrivant la façon de se connecter à la base. L'installation standard met à disposition l'exemple d'un descripteur appelé simpledad. Au-dessous, je présenterai l'exemple de l'attaque au moyen des procédures du paquet owa_util. Vérifi cation du fonctionnement du paquet owa_util : Révélation du code source d'un paquet PL/SQL quelconque (p. ex. fi le_util) : owa_util.showsource?cname=file_util Exécution des requêtes non autorisées à la base : listprint?p_thequery=select%20*%20from %20all_users&p_cname=&p_nsize= Attaque provoque l'erreur de segmentation dans le processus qui gère cette commande. Au moyen de la technique buffer-overfl ow il est possible d'exécuter le code de l'intrus sur le serveur, dans le contexte du processus du serveur WWW (httpd). Une autre attaque qui peut facilement atteindre mod_plsql est l'application de la technique double decode. Cette technique consiste à envoyer vers le serveur la commande contenant les caractères spéciaux (p. ex. barre oblique slash) codés deux fois de façon hexadécimale. En résultats, il est possible de contourner les restrictions du serveur et lire un fi chier ou répertoire quelconque sur le serveur WWW. Exemple : Lecture du fichier de configuration plsql.conf : Utilisation des paquets standard PL/SQL L'installation standard d'oracle comprend une bibliothèque volumineuse avec différents paquets des procédures PL/SQL. Dans les procédures plus anciennes d'oracle, tous les paquets sont également accessibles Autres paquets PL/SQL intéressants, p. ex. : http procédures permettant la gestion du protocole HTTP, tcp procédures de gestion du protocole TCP ; elles permettent, entre autres, d'établir la connexion de retour (sortante), fi le_util procédures d'accès aux fi chiers ; elles permettent, par exemple, de charger un fi chier quelconque du serveur. L'administrateur peut se défendre contre l'utilisation de ces paquets en saisissant le paramètre exclusion_list dans le fi chier de confi guration wdbsrv.app. Dans la confi guration standard d'oracle 9i, ce paramètre est déjà saisi. Dans les versions antérieures, il n'est pas activé. Lecture de la configuration XSQL à l'aide du servlet XSQLServlet Le fi chier XSQLConDessinxml contient les informations sur la confi guration des fi chiers XSQL, entre autres, le nom et le mot de passe de l'utilisateur dont les droits d'accès sont utilisés par le module XSQL pour se connecter à la base de données. Ce fi chier se trouve sur le serveur WWW, dans le répertoire /xsql/ 28

8 Oracle du point de vue de l intrus lib/xsqlcondessinxml. Le serveur interdit l'accès à ce fi chier, et chaque tentative d'y accéder entraîne l'envoi du message 403 Forbidden. Puisque c'est un fi chier XML, il est possible de le lire en utilisant le servlet XSQLServlet accessible par défaut : xsql/lib/xsqlcondessinxml Applications WWW remarques Dans cet article, j'ai présenté les exemples des attaques sur les programmes qui interfacent la base de données Oracle à l'internet. Les attaques décrites ne sont qu'une sélection des méthodes les plus intéressantes. En réalité, la liste est beaucoup plus longue. Pourtant, les erreurs commises par l'éditeur de cette plate forme, c'est-à-dire le serveur d'application, ne sont pas si graves que les erreurs faites par les auteurs des services WWW accessibles sur ce serveur d'application WWW. Le coeur de chaque installation de serveur d'application ce sont les programmes créés exactement selon les besoins. Ces programmes sous forme de scripts PL/SQL, JSP, servlets Java, etc. fonctionnent sur les serveurs WWW et se connectent à la base de données. N'oubliez pas que chaque erreur commise par un programmeur dans ces types de scripts peut avoir des conséquences imprévues. Ici, le danger consiste à ce que les scripts sont autant dangereux que le principe de leur fonctionnement consiste à entrer en interaction souvent avec un utilisateur inconnu via Internet. Puisqu ils utilisent le protocole HTTP, les risques qui y sont liés ne peuvent pas être contrôlés au moyen des mécanises de protection standard, comme p. ex. pare-feu et IDS. L'unique moyen de protection c'est l'audit scrupuleux du code par les spécialistes. Remarques supplémentaires Sur le réseau Oracle Security Alerts : David Litchfield, Hackproofing Oracle Application Server : Protecting Oracle Databases : Oracle_Databases_White_Paper.pdf Documentation du script tnscmd : tnscmd-doc.html Outre les méthodes présentées dans cet article, il est utile de dire quelques mots sur les paramètres standard d'oracle qui peuvent faciliter la tâche à l'intrus. Par exemple, les comptes et les mots de passe présents dans l'installation standard d'oracle sont généralement connus, ce qui est une situation très curieuse. Sur Internet, il est possible de trouver la liste de plus de 100 comptes installés par défaut par Oracle 8i/9i et les produits supplémentaires. D'habitude, ce sont les comptes internes du système ou les comptes liés aux applications démo. Dans l'oracle 8i (8.1.7), quelques de ces comptes possèdes les droits d'accès très élevés : CTXSYS (mot de passe CTXSYS) droits DBA (administrateur de la base), TRACESVR (mot de passe TRACE) droits select any table, MDSYS (mot de passe MDSYS) jeu de droits très élevés. Ce qui est caractéristique, c'est que ces comptes sont liés à une fonctionnalité accessoire d'oracle. Par exemple, CTXSYS c'est le compte nécessaire au fonctionnement du paquet qui sert à la recherche contextuelle des documents, et MDSYS sert à gérer les données multidimensionnelles (p. ex. dans les systèmes GIS). L'éditeur conseille de supprimer ou bloquer les comptes les plus importants, à condition que la fonctionnalité donné ne soit pas utilisé. Mais la plupart des administrateurs ne prennent pas en compte ces prescriptions. Conclusion Le présent article décrit seulement quelques risques caractéristiques pour les installations d'oracle. J'ai essayé de présenter autant les dangers classiques dus aux erreurs commises par l'éditeur (p. ex. buffer-overfl ow) que ceux dus à la configuration incorrecte des services dans l'installation standard, présence de scripts démo ou même les principes de conception inexacts. Oracle est un produit avancé de type base de données, intégrant plusieurs technologies. De cela, la configuration de la protection d'oracle est une tâche vraiment difficile. Bien sûr le programme sans erreurs n'existe pas, pourtant leur qualité ou même banalité dans le cas de produits Oracle permet de constater qu'ils ne sont pas surs en confi guration standard. Dans ce contexte, le slogan publicitaire de l'éditeur paraît assez drôle : Oracle The Unbreakable : You can t break it, you can t break in. Bruce Schneier cryptologue connu et spécialiste de la sécurité des systèmes IT a ajouté son propre commentaire : "Unbreakable" has a meaning. It means that it can't be broken.( ) I don't care who Larry Ellison (le PDG d'oracle) is ; he can't rewrite the dictionary. (Crypto-Gram Newsleter, 15 luty 2002, crypto-gram-0202.html#6) Il ne faut pas oublier que c'est à l'installateur de préparer correctement l'installation de production. Il doit la rendre solide et supprimer la fonctionnalité superfl ue, suivant les prescriptions de l'éditeur. C'est justement ces types de défauts qui constituent le plus grand danger. 29

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Linux....................................................................

Plus en détail

STATISTICA - Version 10

STATISTICA - Version 10 STATISTICA - Version 10 Instructions d'installation de STATISTICA Entreprise pour une Utilisation sous Terminal Server et Citrix Remarques : 1. Ces instructions s'appliquent à une installation sous Terminal

Plus en détail

TP réseaux 4 : Installation et configuration d'un serveur Web Apache

TP réseaux 4 : Installation et configuration d'un serveur Web Apache TP réseaux 4 : Installation et configuration d'un serveur Web Apache Objectifs Installer, configurer, lancer et administrer le serveur Web Apache sous Linux Données de base machine fonctionnant sous Linux

Plus en détail

WINDOWS SERVER 2003 ADMINISTRATION A DISTANCE

WINDOWS SERVER 2003 ADMINISTRATION A DISTANCE 1. Introduction WINDOWS SERVER 2003 ADMINISTRATION A DISTANCE En règle générale, les administrateurs ne travaillent pas en salle serveurs. Et cette dernière peut se trouver n'importe où dans le bâtiment.

Plus en détail

1. Comment accéder à mon panneau de configuration VPS?

1. Comment accéder à mon panneau de configuration VPS? FAQ VPS Business Section 1: Installation...2 1. Comment accéder à mon panneau de configuration VPS?...2 2. Comment accéder à mon VPS Windows?...6 3. Comment accéder à mon VPS Linux?...8 Section 2: utilisation...9

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Windows.................................................................

Plus en détail

Guide d'utilisation du CFEnet Local, version 2 1 / 8

Guide d'utilisation du CFEnet Local, version 2 1 / 8 Livrable Automate de Transmission des Fichiers CFEnet, version 2 : Guide d'utilisation Version Auteur Validation Date de diffusion Destinataires Version de travail Thierry Mallard Thierry

Plus en détail

Accès au serveur SQL. Où ranger les accès au serveur SQL?

Accès au serveur SQL. Où ranger les accès au serveur SQL? 150 requête SQL, cela aura un impact sur un nombre limité de lignes et non plus sur l ensemble des données. MySQL propose une clause originale en SQL : LIMIT. Cette clause est disponible avec les différentes

Plus en détail

Installation et gestion du site Web de rapports dans cet article :

Installation et gestion du site Web de rapports dans cet article : Base de connaissances SiteAudit Installation et gestion du site Web de rapports dans cet article : Avril 2010 Présentation des fonctionnalités Installation de RWS Gestion des dossiers de rapport Accès

Plus en détail

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 Tsoft et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 OEM Console Java OEM Console HTTP OEM Database Control Oracle Net Manager 6 Module 6 : Oracle Enterprise Manager Objectifs Contenu A la fin de ce module,

Plus en détail

TecLocal 4.0. Manuel d'installation: Mode acheteur & multiutilisateurs

TecLocal 4.0. Manuel d'installation: Mode acheteur & multiutilisateurs Tec Local 4.0 Manuel d'installation : Mode acheteur & multi-utilisateurs (client) TecLocal 4.0 Manuel d'installation: Mode acheteur & multiutilisateurs (client) Version: 1.0 Auteur: TecCom Solution Management

Plus en détail

Les messages d erreur d'applidis Client

Les messages d erreur d'applidis Client Fiche technique AppliDis Les messages d erreur d'applidis Client Fiche IS00313 Version document : 1.00 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de

Plus en détail

Alfresco Mobile pour Android

Alfresco Mobile pour Android Alfresco Mobile pour Android Guide d'utilisation de l'application Android version 1.1 Commencer avec Alfresco Mobile Ce guide offre une présentation rapide vous permettant de configurer Alfresco Mobile

Plus en détail

Programmation Avancée pour le Web

Programmation Avancée pour le Web L3 Informatique Option : ISIL Programmation Avancée pour le Web RAMDANI Med U Bouira 1 Contenu du module Introduction aux applications Web Rappels sur les sites Web Conception d une application Web Notion

Plus en détail

Déploiement d'une base SQL Express

Déploiement d'une base SQL Express Déploiement d'une base SQL Express Comment déployer une base avec SQL Express Après l'article sur le déploiement d'une application ASP.NET, il fallait aborder la partie concernant les données. Ainsi, nous

Plus en détail

Le service FTP. M.BOUABID, 04-2015 Page 1 sur 5

Le service FTP. M.BOUABID, 04-2015 Page 1 sur 5 Le service FTP 1) Présentation du protocole FTP Le File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de communication destiné à l échange informatique de fichiers sur

Plus en détail

Téléchargement d OCS Inventory Serveur et Agent. Sommaire

Téléchargement d OCS Inventory Serveur et Agent. Sommaire Téléchargement d OCS Inventory Serveur et Agent Tout d abord, Connectez-vous sur le site suivant : http://www.ocsinventory-ng.org/ Sélectionner le langage Français en cliquant sur le drapeau France Cliquer

Plus en détail

Installation de Windows 2000 Serveur

Installation de Windows 2000 Serveur Installation de Windows 2000 Serveur Introduction Ce document n'explique pas les concepts, il se contente de décrire, avec copies d'écran, la méthode que j'utilise habituellement pour installer un Windows

Plus en détail

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5 L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5. Préparation à l installation de MS Proxy server Ce logiciel

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Configuration de Telnet dans Linux

Configuration de Telnet dans Linux Configuration de Telnet dans Linux Durée prévue: 25 minutes Objectif Équipement Scénario Procédures Dans ce TP, l'étudiant va apprendre à configurer les services Telnet sur un système de manière à ce que

Plus en détail

Installation de Windows 2000 Serveur

Installation de Windows 2000 Serveur Installation de Windows 2000 Serveur Introduction Ce document n'explique pas les concepts, il se contente de décrire, avec copies d'écran, la méthode que j'utilise habituellement pour installer un Windows

Plus en détail

STATISTICA Version 12 : Instructions d'installation

STATISTICA Version 12 : Instructions d'installation STATISTICA Version 12 : Instructions d'installation STATISTICA Entreprise (Small Business Edition) Remarques 1. L'installation de STATISTICA Entreprise (Small Business Edition) s'effectue en deux temps

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

Firewall : Pourquoi et comment?

Firewall : Pourquoi et comment? Firewall : Pourquoi et comment? En ai-je besoin? Internet, bien que très utile et pratique, est parsemé d'embuches. Parmi elles : les virus et les troyens. Un virus est un programme créé pour modifier

Plus en détail

SENTINEL S/5 avec CODESOFT Version 8

SENTINEL S/5 avec CODESOFT Version 8 SENTINEL S/5 avec CODESOFT Version 8 TEKLYNX International Copyright 2005 5 Décembre, 2005 RN-0001.00 PRODUCT RELEASE NOTES SENTINEL S/5 version 5.01 Release Notes v.fr 1 SENTINEL S/5 avec CODESOFT version

Plus en détail

Version 1.0 09/10. Xerox ColorQube 9301/9302/9303 Services Internet

Version 1.0 09/10. Xerox ColorQube 9301/9302/9303 Services Internet Version 1.0 09/10 Xerox 2010 Xerox Corporation. Tous droits réservés. Droits non publiés réservés conformément aux lois relatives au droit d'auteur en vigueur aux États-Unis. Le contenu de cette publication

Plus en détail

LES ACCES ODBC AVEC LE SYSTEME SAS

LES ACCES ODBC AVEC LE SYSTEME SAS LES ACCES ODBC AVEC LE SYSTEME SAS I. Présentation II. SAS/ACCESS to ODBC III. Driver ODBC SAS IV. Driver ODBC SAS Universel V. Version 8 VI. Références I. Présentation Introduction ODBC, qui signifie

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Microsoft OSQL OSQL ou l'outil de base pour gérer SQL Server

Microsoft OSQL OSQL ou l'outil de base pour gérer SQL Server Microsoft OSQL OSQL ou l'outil de base pour gérer SQL Server Suite à mon précédent article concernant MSDE, je me suis rendu compte à partir des commentaires que de nombreux utilisateurs avaient des problèmes

Plus en détail

SQL MAP. Etude d un logiciel SQL Injection

SQL MAP. Etude d un logiciel SQL Injection Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil

Plus en détail

Sophos Anti-Virus pour Mac OS X Guide de démarrage réseau

Sophos Anti-Virus pour Mac OS X Guide de démarrage réseau Sophos Anti-Virus pour Mac OS X Guide de démarrage réseau Pour les Macs exécutant Mac OS X en réseau Version du produit : 8.0 Date du document : avril 2012 Table des matières 1 À propos de ce guide...3

Plus en détail

SQUID Configuration et administration d un proxy

SQUID Configuration et administration d un proxy SQUID Configuration et administration d un proxy L'objectif de ce TP est d'étudier la configuration d'un serveur mandataire (appelé "proxy" en anglais) ainsi que le filtrage des accès à travers l'outil

Plus en détail

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations.

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations. Chapitre 4 A. Introduction Le contrôle d'accès représente une opération importante au niveau de la gestion de la sécurité sur un serveur de bases de données. La sécurisation des données nécessite une organisation

Plus en détail

Le Guide de marquage des Podcasts

Le Guide de marquage des Podcasts Le Guide de marquage des Podcasts Médiamétrie-eStat Buropolis, Bât 3 1240, route des Dolines Sophia Antipolis 06560 Valbonne Tél : 04 92 38 38 20 Fax : 04 92 96 91 25 E-mail : serviceclient@mediametrie-estat.com

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

Configuration de la protection antivirus du côté utilisateur pour l OS Linux. Protégez votre univers

Configuration de la protection antivirus du côté utilisateur pour l OS Linux. Protégez votre univers Configuration de la protection antivirus du côté utilisateur pour l OS Linux Protégez votre univers Déploiement de la protection antivirus. Malheureusement, le système d'exploitation Linux n'inclut aucun

Plus en détail

Vulnérabilités logicielles Injection SQL

Vulnérabilités logicielles Injection SQL MGR850 Hiver 2014 Vulnérabilités logicielles Injection SQL Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan SQL Injection SQL Injections

Plus en détail

Installation de Windows 2000 Serveur

Installation de Windows 2000 Serveur Installation de Windows 2000 Serveur Introduction Ce document n'explique pas les concepts, il se contente de décrire, avec copies d'écran, la méthode que j'utilise habituellement pour installer un Windows

Plus en détail

Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS

Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS 1 PleskWebpack MAS_FR- Octobre 2010 SOMMAIRE - Introduction 1 - Créer un compte FTP et les droits d accès 2 - Utiliser l outil de rapport (statweb,

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Guide de l'utilisateur

Guide de l'utilisateur BlackBerry Internet Service Version: 4.5.1 Guide de l'utilisateur Publié : 2014-01-08 SWD-20140108170135662 Table des matières 1 Mise en route...7 À propos des formules d'abonnement pour BlackBerry Internet

Plus en détail

Le Sphinx Utilisation du script d'enregistrement

Le Sphinx Utilisation du script d'enregistrement Le Sphinx Développement Le Sphinx Utilisation du script d'enregistrement Parc Altaïs Tel. : 04 50 69 82 98 74650 Chavanod contact@lesphinx-developpement.fr Il est possible de mettre un formulaire sur son

Plus en détail

Installation de Joomla

Installation de Joomla 1 sur 15 26/05/2008 22:17 Installation de Joomla Ce tutorial décrit les étapes permettant d'installer Joomla (version 1.5.1) sur un serveur d'hébergement. La procédure peut légèrement varier en fonction

Plus en détail

Nuage Cloud notions, utilisation

Nuage Cloud notions, utilisation Page:1 Cours pour utilisation simple du Cloud Table des matières 1-Généralités...2 1.1-Les principales fonctionnalités...2 2-Les solutions proposées...4 2.1-Choix du fournisseur...4 2.2-Installation de

Plus en détail

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide ESET NOD32 Antivirus 4 pour Linux Desktop Guide de démarrage rapide ESET NOD32 Antivirus 4 assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur d'analyse

Plus en détail

Administration du site (Back Office)

Administration du site (Back Office) Administration du site (Back Office) A quoi sert une interface d'administration? Une interface d'administration est une composante essentielle de l'infrastructure d'un site internet. Il s'agit d'une interface

Plus en détail

Explication des statistiques

Explication des statistiques Explication des statistiques Sources : http://www.eolas.fr/8-conseil/65-interpreter-vos-statistiques-webalizer.htm http://support.sherweb.com/faqdetails.php?idarticle=68 Un site web est un ensemble de

Plus en détail

1. Faire Démarrer, Paramètres, Panneau de configuration, Outils d administration, Gestion de l ordinateur.

1. Faire Démarrer, Paramètres, Panneau de configuration, Outils d administration, Gestion de l ordinateur. TP PERSONNALISER SON POSTE DE TRAVAIL LES COMPTES, LES GROUPES C'EST QUOI? Les comptes et les groupes permettent de gérer plus facilement l administration d une machine. Il semble assez logique que sur

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Guide d intégration. Protection de classeurs Microsoft EXCEL avec CopyMinder. Contact commercial : Tél. : 02 47 35 70 35 Email : com@aplika.

Guide d intégration. Protection de classeurs Microsoft EXCEL avec CopyMinder. Contact commercial : Tél. : 02 47 35 70 35 Email : com@aplika. Guide d intégration Protection de classeurs Microsoft EXCEL avec CopyMinder Contact commercial : Tél. : 02 47 35 70 35 Email : com@aplika.fr Contact Technique : Tél. : 02 47 35 53 36 Email : support@aplika.fr

Plus en détail

SCOoffice Mail Connector for Microsoft Outlook. Guide d'installation Outlook 97, 98 et 2000

SCOoffice Mail Connector for Microsoft Outlook. Guide d'installation Outlook 97, 98 et 2000 SCOoffice Mail Connector for Microsoft Outlook Guide d'installation Outlook 97, 98 et 2000 Rév 1.1 4 décembre 2002 SCOoffice Mail Connector for Microsoft Outlook Guide d'installation - Outlook 97, 98 et

Plus en détail

Serveur FTP. 20 décembre. Windows Server 2008R2

Serveur FTP. 20 décembre. Windows Server 2008R2 Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

TUTORIAL ULTRAVNC 1.0.2 (EDITION 2)

TUTORIAL ULTRAVNC 1.0.2 (EDITION 2) TUTORIAL ULTRAVNC 1.0.2 (EDITION 2) 1) TELECHARGEMENT DE ULTRAVNC :... 1 2) INSTALLATION DU SERVEUR ULTRAVNC (ULTRAVNC 1.0.2 COMPLET)... 2 3) UTILISATION DE ULTRAVNC 1.0.2 SERVEUR SEUL... 10 4) UTILISATION

Plus en détail

Contrôle à distance. Logiciels existants:

Contrôle à distance. Logiciels existants: Contrôle à distance Logiciels existants: CrossLoop, dont l édition gratuite est limitée à une seule machine. Est un utilitaire permettant de contrôler un ordinateur à distance s'inscrivant directement

Plus en détail

Serveur de Licences Acronis. Guide Utilisateur

Serveur de Licences Acronis. Guide Utilisateur Serveur de Licences Acronis Guide Utilisateur TABLE DES MATIÈRES 1. INTRODUCTION... 3 1.1 Présentation... 3 1.2 Politique de Licence... 3 2. SYSTEMES D'EXPLOITATION COMPATIBLES... 4 3. INSTALLATION DU

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

Salvia Liaison Financière. Manuel d installation version 15.00 Pour les professionnels des collectivités locales et de l habitat social

Salvia Liaison Financière. Manuel d installation version 15.00 Pour les professionnels des collectivités locales et de l habitat social Salvia Liaison Financière Manuel d installation version 15.00 Pour les professionnels des collectivités locales et de l habitat social Sommaire 1. Préambule... 3 2. Introduction... 3 3. Création de la

Plus en détail

Mise en œuvre d'une solution de haute disponibilité pour un serveur de fichier

Mise en œuvre d'une solution de haute disponibilité pour un serveur de fichier Mise en œuvre d'une solution de haute disponibilité pour un serveur de fichier janvier 17 2014 Rodrigue Marie 913 G2 TP5 : Mise en œuvre d'une solution de haute disponibilité pour un serveur de fichier

Plus en détail

DÉMARRAGE RAPIDE. Présentation et installation de NetStorage

DÉMARRAGE RAPIDE. Présentation et installation de NetStorage Novell NetStorage www.novell.com DÉMARRAGE RAPIDE Présentation et installation de NetStorage Novell NetStorage est une fonction de NetWare 6 qui permet d'accéder facilement, via Internet, au système de

Plus en détail

STATISTICA - Version 10

STATISTICA - Version 10 STATISTICA - Version 10 Instructions d'installation STATISTICA en Réseau Classique avec Validation du Nom de Domaine Remarques : 1. L'installation de la version réseau de STATISTICA s'effectue en deux

Plus en détail

La hiérarchie du système DNS

La hiérarchie du système DNS LA RÉSOLUTION DE NOMS 1. PRÉSENTATION DU SYSTÈME DNS 1.1 INTRODUCTION À LA RÉSOLUTION DE NOMS Pour pouvoir communiquer, chaque machine présente sur un réseau doit avoir un identifiant unique. Avec le protocole

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

Cours Administration BD

Cours Administration BD Faculté des Sciences de Gabès Cours Administration BD Chapitre 2 : Architecture Oracle Faîçal Felhi felhi_fayssal@yahoo.fr 1 Processus serveur 1 Mémoire PGA Architecture SGBD Oracle Processus serveur 2

Plus en détail

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada ITSB-96 Dernière mise à jour : mars 2015 1 Introduction La correction des

Plus en détail

ComTrafic. Installation du logiciel. 1 Prérequis. Page 1. 1.1 Configuration nécessaire. 1.2 Préparation du serveur

ComTrafic. Installation du logiciel. 1 Prérequis. Page 1. 1.1 Configuration nécessaire. 1.2 Préparation du serveur 1 Prérequis 1.1 Configuration nécessaire Le logiciel ComTrafic s'installe sur la majorité des configurations actuelles, sauf cas particulier le PC est non dédié à l'application. Configuration matérielle

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Sommaire F-Secure Anti-Virus for Mac 2015 Sommaire Chapitre 1: Prise en main...3 1.1 Gestion des abonnements...4 1.2 Comment m'assurer que mon ordinateur est protégé...4

Plus en détail

Administration via l'explorateur WebSphere MQ

Administration via l'explorateur WebSphere MQ Ce document présente l utilisation de l Explorateur WebSphere MQ, et en particulier sa capacité à administrer des Queue Manager distants. Il aborde également les problèmes de sécurité liés à l administration

Plus en détail

Atelier Le gestionnaire de fichier

Atelier Le gestionnaire de fichier Chapitre 12 Atelier Le gestionnaire de fichier I Présentation Nautilus est un gestionnaire de fichiers pour l environnement de bureau Gnome. Il offre toutes les fonctions de gestion de fichier en local

Plus en détail

Gestionnaire de forums et de publication sur Internet GUIDE D INSTALLATION. version 4.1.5

Gestionnaire de forums et de publication sur Internet GUIDE D INSTALLATION. version 4.1.5 Gestionnaire de forums et de publication sur Internet GUIDE D INSTALLATION version 4.1.5 1 PREREQUIS 4 1.1 PHP INSTALLE ET CONFIGURE 4 1.1.1 PHP est-il correctement installé et configuré? 4 1.1.2 L option

Plus en détail

Le système me demande de me connecter à nouveau et m'indique que ma session a expiré. Qu'est-ce que cela signifie?

Le système me demande de me connecter à nouveau et m'indique que ma session a expiré. Qu'est-ce que cela signifie? Quels sont les types de navigateurs supportés? Est-ce que je dois permettre les cookies? Qu'est-ce que les cookies de session? Le système me demande de me connecter à nouveau et m'indique que ma session

Plus en détail

BAAN IVc. Guide de l'utilisateur BAAN Data Navigator

BAAN IVc. Guide de l'utilisateur BAAN Data Navigator BAAN IVc Guide de l'utilisateur BAAN Data Navigator A publication of: Baan Development B.V. B.P. 143 3770 AC Barneveld Pays-Bas Imprimé aux Pays-Bas Baan Development B.V. 1997 Tous droits réservés. Toute

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Corporate Modeler Guide d'installation

Corporate Modeler Guide d'installation Corporate Modeler Guide d'installation Corporate Exchange Oracle Migration des données de la version 8e vers la version 9 Page 1 sur 9 Document d'aide pour les utilisateurs avertis - Sommaire 1 INTRODUCTION...3

Plus en détail

PORTAIL INTERNET DECLARATIF. Configuration du client de messagerie Exemple avec Outlook 2010. Guide Outlook 2010 Page 1 sur 12 Version 1.

PORTAIL INTERNET DECLARATIF. Configuration du client de messagerie Exemple avec Outlook 2010. Guide Outlook 2010 Page 1 sur 12 Version 1. PORTAIL INTERNET DECLARATIF Configuration du client de messagerie Exemple avec Outlook 2010 Guide Outlook 2010 Page 1 sur 12 Vos données importantes : Votre nom de connexion et de messagerie: nom_utilisateur@aspone.fr

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Par le service des publications Citrix. Citrix Systems, Inc.

Par le service des publications Citrix. Citrix Systems, Inc. Licences : présentation de l architecture Par le service des publications Citrix Citrix Systems, Inc. Avis Les informations contenues dans cette publication peuvent faire l'objet de modifications sans

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Guide d'installation d'icewarp

Guide d'installation d'icewarp Le serveur Icewarp Guide d'installation d'icewarp Version 11 Avril 2014 Icewarp France / DARNIS Informatique i Sommaire Guide d'installation d'icewarp 1 Introduction... 1 Pré-requis... 1 Exigences sur

Plus en détail

Services Microsoft Online Services de Bell. Trousse de bienvenue

Services Microsoft Online Services de Bell. Trousse de bienvenue Services Microsoft Online Services de Bell Trousse de bienvenue Table des matières Introduction... 3 Installation des services Microsoft Online Services de Bell... 3 1. Réception de la première lettre

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB Installation et administration d un serveur web Module 25793 TP A5 (1/2 valeur) Chapitre 1 Fonctionnalités d un serveur web, le protocole

Plus en détail

Configuration de l'adresse IP du périphérique d'authentification de Xerox Secure Access Unified ID System Livre blanc

Configuration de l'adresse IP du périphérique d'authentification de Xerox Secure Access Unified ID System Livre blanc Configuration de l'adresse IP du périphérique d'authentification de Xerox Secure Access Unified ID System Copyright 2007 Xerox Corporation. Tous droits réservés. XEROX, Secure Access Unified ID System

Plus en détail

Manuel du revendeur. version 2.0-r1

Manuel du revendeur. version 2.0-r1 Manuel du revendeur version 2.0-r1 Table des matières 1 Explication des termes 3 2 Sections du tableau d administration dédié au revendeur 3 3 Généralités 4 3.1 Aperçu............................... 4

Plus en détail

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim 01/03/2013 Le rôle de Serveur Web (IIS) dans Windows Server 2008 R2 vous permet de partager des informations avec des utilisateurs sur Internet, sur un intranet ou un extranet. Windows Server 2008 R2 met

Plus en détail

Internet Information Services 8 (IIS 8) Installation, configuration et maintenance du serveur Web IIS 8 sous Windows Server 2012

Internet Information Services 8 (IIS 8) Installation, configuration et maintenance du serveur Web IIS 8 sous Windows Server 2012 Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail

Utilisation du Rôle IIS :

Utilisation du Rôle IIS : Utilisation du Rôle IIS : I. Installation du Rôle "Serveur Web" Dans la console de gestion du serveur Windows 2008, ajouter un rôle : Sélectionner le rôle "Serveur Web" : Ajouter "CGI" afin de permettre

Plus en détail

Installation d'un serveur DHCP sous Windows 2000 Serveur

Installation d'un serveur DHCP sous Windows 2000 Serveur Installation d'un serveur DHCP sous Windows 2000 Serveur Un serveur DHCP permet d'assigner des adresses IP à des ordinateurs clients du réseau. Grâce à un protocole DHCP (Dynamic Host Configuration Protocol),

Plus en détail

Sophos Mobile Control Guide d'utilisation pour Windows Phone 8. Version du produit : 4

Sophos Mobile Control Guide d'utilisation pour Windows Phone 8. Version du produit : 4 Sophos Mobile Control Guide d'utilisation pour Windows Phone 8 Version du produit : 4 Date du document : mai 2014 Table des matières 1 À propos de Sophos Mobile Control...3 2 À propos de ce guide...4 3

Plus en détail

Comment faire pour récupérer Windows XP à partir d'un Registre endommagé qui empêche le démarrage du système

Comment faire pour récupérer Windows XP à partir d'un Registre endommagé qui empêche le démarrage du système Comment faire pour récupérer Windows XP à partir d'un Registre endommagé qui empêche le démarrage du système Voir les produits auxquels s'applique cet article Ancien nº de publication de cet article :

Plus en détail

1. L'environnement. de travail. 420-283 Programmation. d'un serveur

1. L'environnement. de travail. 420-283 Programmation. d'un serveur 420-283 Programmation d'un serveur 1. L'environnement de travail L'objectif de ce cours est de développer des applications clients-serveur utilisant des bases de données. Le modèle selon lequel fonctionne

Plus en détail

Configuration d'un annuaire LDAP

Configuration d'un annuaire LDAP Le serveur Icewarp Configuration d'un annuaire LDAP Version 10.3 Juillet 2011 Icewarp France / DARNIS Informatique i Sommaire Configuration d'un annuaire LDAP 1 Introduction... 1 Qu'est-ce que LDAP?...

Plus en détail

Solutions Bureau de Bell Aliant Accès à distance

Solutions Bureau de Bell Aliant Accès à distance Services de gestion de sécurité de Bell Aliant Solutions Bureau de Bell Aliant Accès à distance Accès au RPV SSL avec SecurID Guide de l'utilisateur Version 1.3 Septembre 2009 1 Toute reproduction, publication

Plus en détail