Pré-requis et techniques de base
C'est de notoriété publique, Internet est infiniment rempli de merveilles... insécurisées. Nous vous décrivons ici les failles les plus basiques mais malheureusement également les plus classiques et les plus fréquentes... Dans les sections suivantes nous avons décidé de rappeller brièvement le fonctionnement de la navigation Web et des ressources mises en jeu ainsi que de nous familiariser avec l'injection de code, ciment de l'exploitation Web.
Articles
Nous allons donc évoquer :
- - La navigation sur Internet et notamment le protocole HTTP
- Les dangers de l'inclusion dynamique de contenu
- Les références directes à des objets non-protégés
- La très célèbre faille Cross-Site-Scripting
- Les bases de l'injection SQL
- Les exploitations directory traversal
Challenges
Pour mettre en pratique ces techniques basiques, je vous invite à essayer d'exploiter les différents challenges suivants :
- - Les challenges Web Hacking de w3challs, jusqu'à "Attaque Temporelle"
- La majorité des épreuves Hacking NewbieContest, jusqu'à "d4priv8 I"
- Les services Web PHP de l'iCTF 2011 : muleadmin, muleuser, mulemanager, sendalert
Exploitations avancées et spécifiques
Les méthodes d'exploitation allant un peu plus loin se servent notamment des spécificités des langages et protocoles utilisés. Certaines problématiques de sécurité sortent un peu de la couche applicative et se situent au niveau des interpérteurs, des serveurs ou des navigateurs.
Articles
Quelques exemples :
- - Injections SQL avancées et aperçu de la puissance d'expression du langage SQL
- Exploits HTTP Splitting, la compromission complète des pages présentées
- Faille Cross-Site Tracing (XST) : passer outre les protections HTTPOnly
Challenges
Toujours parmi les mêmes références, vous pouvez vous tester sur la deuxième moitié des épreuves w3challs et NewbieContest, les services Web Ruby et Python de l'iCTF 2011 : egoats, msgdispatcher, ou encore une épreuve faite maison : BrowserWar.
Enfin, l'exploitation est une chose, la sécurité en est une autre et vous avez été nombreux à me demander des conseils pour le développement de sites simples, j'ai donc décidé d'écrire un article bref de recommandations simples (et non exhaustives) de programmation. Il constitue bien sûr un point de départ et non une référence en la matière..
#Diafara___FOFANA
Commentaires
Enregistrer un commentaire