Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)



Documents pareils
Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

SECURIDAY 2013 Cyber War

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Installation locale de JOOMLA SEPIA

Sommaire : Pourquoi créer un site web? Qu est-ce qu un site Web? Les différents types de sites. Quelles solutions peuvent être employées?

\ \ / \ / / \/ ~ \/ _ \\ \ ` \ Y ( <_> ) \ / /\ _ / \ / / \/ \/ \/ Team

Création d un «Web Worm»

CRÉER, ROUTER ET GÉRER UNE NEWSLETTER, UN ING

Rapport de stage. Création d un site web. Stage du 20/01/2013 au 21/02/2013

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Command Execution: File Inclusion : SQL injection :... 10

Tutoriel Drupal version 7 :

Bureautique Initiation Excel-Powerpoint

Les rootkits navigateurs

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Activité sur Meteor. Annexe 1 : notion de client-serveur et notion de base de données

Webmaster / Webdesigner / Wordpress

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

CMS Made Simple Version 1.4 Jamaica. Tutoriel utilisateur Récapitulatif Administration

Programmation Web. Introduction

Les outils de création de sites web

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward

Failles des applications Web. Ce document est extrait du travail de diplôme de M. DIZON dans l état.

Formation : WEbMaster

Web & Libre. Outils pour être présent sur le net librement

Vulnérabilités et sécurisation des applications Web

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Internet : Naviguer en toute sérénité

Vulnérabilités et solutions de sécurisation des applications Web

Guide d installation de Gael

CONTACT EXPRESS 2011 ASPIRATEUR D S

SECURIDAY 2012 Pro Edition

Inscription de votre site sur Google Configuration du sitemap et de Webmaster Tools pour PrestaBox

OUAPI Guide d installation Outil d administration de parc informatique. Documentation d installation et de paramétrage

Guide Utilisateur Enregistrement d'un compte en ligne

Magento. Magento. Réussir son site e-commerce. Réussir son site e-commerce BLANCHARD. Préface de Sébastien L e p e r s

Créer et animer une boutique en ligne avec Wordpress (environnement PC et MAC)

MANUEL WORDPRESS. Objectif: Refonte d un site web sous Wordpress I PRE-REQUIS: 1 / Créer un backup (sauvegarde) du site:

Protection des protocoles

Intranet d'établissement avec Eva-web Installation configuration sur serveur 2000 ou 2003 Document pour les administrateurs

RÉALISATION D UN SITE DE RENCONTRE

Description de l implantation dans le centre d examen (nom du service ou de l outil et caractéristiques techniques)

Note de synthèse. Développement web sur le CMS Prestashop. Stage du 17 mai au 25 juin Entreprise decoratzia.com 15 rue Erlanger Paris

Formation Webmaster : Création de site Web Initiation + Approfondissement

À propos du Guide de l'utilisateur final de VMware Workspace Portal

Security Exposed. #1 - Take the red pill. An introduction to hacking & security flaws. ... and follow the white rabbit

BTS SIO Dossier BTS. PURCHLA Romain

dmp.gouv.fr Pour en savoir plus DMP Info Service : 24h/24 7j/7

Sommaire. Avertissement :

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

INSTALLATIONS. Vous adapterez l installation en fonction des nouvelles versions qui peuvent légèrement différer.

Les outils marketing. Page 1

Les menaces informatiques

Sécurité Informatique : Metasploit

Les sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Administration du site (Back Office)

CREG : versailles.fr/spip.php?article803

Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain

FTP : File TRansfer Protocol => permets d envoyer des gros fichiers sur un serveur (ou de télécharger depuis le serveur)

Club des Responsables d Infrastructures et de la Production

Programmation Internet Cours 4

Création d'un site dynamique en PHP avec Dreamweaver et MySQL

les techniques d'extraction, les formulaires et intégration dans un site WEB

Présentation de la solution Open Source «Vulture» Version 2.0

Web service AREA Manuel d installation et d utilisation du mode déconnecté. Version du 18 mars 2011

Audit Sécurité vendredi 13 novembre

webmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09

LA PLATE-FORME D'ALTERN C

Sommaire. 1 Introduction Présentation du logiciel de commerce électronique 23

Architectures web/bases de données

HTML. Notions générales

Sécurité des systèmes informatiques Introduction

KompoZer. Composition du site : _ une page d'accueil : index.html. _ une page pour la théorie : theorie.html. _ une page pour les photos : photos.

Créer un site Web : mode d emploi Sous SPIP, avec le squelette «établissement» de l académie de Versailles

FICHE TECHNIQUE. Secondaire et postsecondaire

Un site web collaboratif avec Drupal. Judith Hannoun - Journées INSHS 16 Octobre 2012

Procédure d utilisation du PRM

Attaques de type. Brandon Petty

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Google Merchant Center

Sécurité des applications web. Daniel Boteanu

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

Comment configurer votre navigateur pour Belfius Direct Net (Business)?

LEA.C5. Développement de sites Web transactionnels

SQL MAP. Etude d un logiciel SQL Injection

Cahier des charges Site Web Page 1 sur 9

Créer son Blog! Une fois votre compte blogger ouvert, vous allez pouvoir cliquer sur «Nouveau Blog» Une nouvelle fenêtre apparaît

SECURIDAY 2013 Cyber War

Programmation Web. Madalina Croitoru IUT Montpellier

Sommaire. I.1 : Alimentation à partir d un fichier Access (.mdb)...2

Guide Numériser vers FTP

Paramétrage des navigateurs

Transcription:

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :... 3 III. Présentation des outils utilisés :... 3 1) Acunetix Web Vulnerability Scanner... 3 2) WampServer :... 4 3) Notepad++ :... 4 4) Addon greasemonkey :... 5 5) Addon cookie Injector :... 5 6) Addon Edit this cookie:... 5 VI. Topologie :... 5 1) Création d un forum :... 5 2) Scanner la vulnérabilité du forum :... 6 IV. Scénario de test :... 7 V. Protection :... 12 VI. Conclusion :... 12 1

I. Introduction: Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque si aucune défense n a été mise en place. Une «attaque» est l'exploitation d'une faille d'un système informatique à des fins non connues par l'exploitant du système et généralement préjudiciables. Afin de contrer ces attaques il est indispensable de connaître les principaux types d'attaques afin de mettre en œuvre des dispositions préventives. Les motivations des attaques peuvent être de différentes sortes : voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ; glaner des informations personnelles sur un utilisateur ; récupérer des données bancaires ; s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ; troubler le bon fonctionnement d'un service ; Parmi les différents types d attaque les plus connu, on citera l attaque de type Cross-Site Scripting (notée parfois XSS ou CSS). II. Présentation de l atelier : Les attaques de type Cross-Site Scripting, abrégé XSS (Cross voulant dire «croix» en anglais. Le symbole X a été choisi pour le représenter), sont des attaques visant les sites web affichant dynamiquement du contenu utilisateur sans effectuer de contrôle et d'encodage des informations saisies par les utilisateurs. Les attaques Cross-Site Scripting consistent ainsi à forcer un site web à afficher du code HTML ou des scripts saisis par les utilisateurs. C est une faille ou nous pouvons injecter du code JavaScript pour voler des cookies, en parti - culier celui du webmaster qui est intéressant afin que le site web nous reconnaisse en tant qu administrateur. Cette faille est dite "côté client" puisque notre code (x)html et JavaScript n'est pas parsé par le serveur, qui lui se contente de renvoyer la page, mais bien interprété par le navigateur de la victime. Un cookie? Un cookie en informatique c est un petit bloc de données sous forme d un fichier texte forgé par un site web et récupéré à la prochaine connexion, il est utilisé pour stocker une information spécifique sur l utilisateur. 2

Il y a deux types d attaques : 1) Attaque persistante : L attaque est dite «persistante» lorsque les données saisies par l'utilisateur sont stockées sur le serveur pendant un certain temps,cas d'un forum de discussion par exemple : Chaque message est enregistré pour être ensuite affiché lorsqu'un utilisateur demande la page, imaginons que l'on insère du code malicieux dans un de nos messages, ce dernier serait donc affiché à chaque demande d'un utilisateur et chaque utilisateur le consultant serait alors à la merci du code malicieux! On pourrait alors piéger tous les utilisateurs 2) Attaque non persistante : Les attaques dites «non persistantes» concernent les pages web ici, les informations ne sont stockées nulle part, le serveur utilise les données envoyées par l'utilisateur pour fournir une page dynamique en résultant. En effet il faut confectionner un lien pointant vers la page faillible, puis faire en sorte que la victime clique dessus. L'exemple de faille XSS fournit plus haut présente une faille de ce type, pour l'exploiter il faudrait donc faire cliquer la victime sur un lien de ce type : "page.php?pseudo=<script>blablabla</script>" qui consultera alors une page modifiée, piégée. Cet atelier a pour objectif de simuler une attaque non persistante sur un forum vulnérable à la faille XSS. III. Présentation des outils utilisés : 1) Acunetix Web Vulnerability Scanner Acunetix Web Vulnerability Scanner est un logiciel qui permet d évaluer le niveau de sécurité de votre site web. En effet, un site web peut être la cible des pirates surtout s il possède des informations sensibles sur ses utilisateurs tels que les numéros de carte bancaires. Le logiciel teste la vulnérabilité de votre site face aux injections SQL et le cross Scripting. Ce sont des techniques très répandues pour pirater un site web afin d en récolter des informations soit directement dans la base de données, les cookies, ou autres endroits susceptibles de contenir des informations confidentielles. N.B : C est un logiciel payant. 3

2) 3) WampServer : WampServer (anciennement WAMP5) est une plateforme de développement Web de type WAMP, permettant de faire fonctionner localement (sans se connecter à un serveur externe) des scripts PHP. WampServer n'est pas en soi un logiciel, mais un environnement comprenant deux serveurs (Apache et MySQL), un interpréteur de script (PHP), ainsi que phpmyadmin pour l'administration Web des bases MySQL. N.B : C est un logiciel libre. On peut utiliser notamment EasyPHP 4) Notepad++ : Notepad++ est un programme spécialement conçu pour l'édition de code source. Il est compatible avec plusieurs langages de programmation. N.B : c est un logiciel libre 4

5) Add-on greasemonkey : Greasemonkey est une extension pour le navigateur web Mozilla Firefox permettant de modifier le comportement d'une page web en associant un script JavaScript au chargement de celle-ci. 6) Add-on cookie Injector : Le script utilisateur CookieInjector lui permet d injecter les cookies de la page Web en cours de consultation. 7) Add-on Edit this cookie: C est une extension pour le navigateur Google chrome, Il permet d ajouter, supprimer, modifier, rechercher, protéger et bloquer les cookies VI. Topologie : 1) Création d un forum : On va créer un forum simple vulnérable à la faille XSS, qui contient une page d accueil afin d accéder au forum et une page de commentaire : 5

Se connecter en tant que administrateur ou bien utilisateur : 2) Scanner la vulnérabilité du forum : On va scanner le forum à l aide d Acunetix Web Vulnerability Scanner afin d analyser les vulnérabilités de forum et précisément la vulnérabilité Cross-Site Scripting (XSS). L URL de notre forum est http://localhost/forum/ On lance le scan : 6

On remarque bien que notre forum contient une faille XSS. IV. Scénario de test : On va connecter en tant que administrateur et utilisateur depuis notre machine comme nous travaillons en local. 7

Se connecter en tant que administrateur et utilisateur dans une autre fenêtre de navigation : L administrateur poste un message de bienvenue 8

Il demande aux utilisateurs de poster leurs questions sur le Forum, s ils ont confrontés des problèmes Un utilisateur qui va jouer le rôle d un Hacker va poster son message en lui ajoutant un script qui fait appel à une fonction dans le but de voler les cookies de l administrateur. Le message va être posté à l administrateur. Le script de hacker consiste à enregistrer les cookies de l administrateur dans un fichier texte «cookie.txt». Il va consulte son fichier après l envoi de script à l administrateur 9

Après avoir récupérer les cookies, la hacker va utiliser le add-on Cookie injector pour injecter le cookie de l administrateur afin d obtenir les droits d accès du webmaster: En cliquant sur alt+c la fenêtre de Cookie injector sera affichée qui contient une zone de texte qu on va écrire le code de cookie qu on a récupérer dedans. Après avoir actualisé sa page, le hacker qui est connecté en tant que utilisateur sera connecté au forum en tant que Administrateur. 10

A ce moment-là, le hacker accède au forum en tant que administrateur avec tous ses privilèges, il peut donc : Changer le mot de passe de l administrateur afin que ce dernier ne puisse pas accéder à son forum. Accéder à la base des données du forum. Récupérer les informations personnelles des utilisateurs. Faire circuler des fausses informations. 11

V. Protection : Du côté de l'utilisateur, il est possible de se prémunir contre les attaques CSS en configurant le navigateur de manière à interdire l'utilisation de la balise html <script>. Mais cela n'est pas suffisant, car on peut contourner facilement la protection en utilisant d'autres balises html, comme la balise iframe, Il est donc plus prudent d'interdire toute utilisation de balises html. La fonction Php strip_tags() permet de faire cela et peut aller plus loin en autorisant seulement certaines balises mais là encore, cette méthode est insuffisante face aux exploits n'utilisant aucune balise. Dans la réalité cette solution est souvent trop contraignante pour l'utilisateur car de nombreux sites refuseront de fonctionner correctement en l'absence de possibilité d'exécution de code dynamique. La seule façon viable d'empêcher les attaques Cross-Site Scripting consiste à concevoir des sites web non vulnérables. Pour ce faire, le concepteur d'un site web doit : Vérifier le format des données entrées par les utilisateurs Encoder les données utilisateurs affichées en remplaçant les caractères spéciaux par leurs équivalents HTML en utilisant l une des deux méthodes : htmlspecialchars(),htmlentities() htmlentities() c'est du superflu, il encodera entité html tous les caractères (même un simple a) htmlspecialchars() n'encode que les caractères potentiellement dangereux, donc ici on a moins de transformation = moins de ressource consommé. VI. Conclusion : En conclusion, et après tout ce que nous venons de voir, nous pouvons dire que les failles XSS ne sont pas des failles à négliger étant donné qu'elles permettent, par une attaque bien menée, d'effectuer n'importe quelles actions sur le site faillible. Et malgré cela, ces failles restent parmi les plus présentes sur Internet! Il faut donc informer les Webmasters du danger potentiel qu'instaure une XSS sur un site. Conseils de sécurité : c est que la base de la base c est de partir du principe que tout ce qui vient du visiteur (ou de son navigateur) est pirate et qu il faut donc se protéger. 12

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back