Vulnérabilités

web
Exposants: Groupe7
Mame Bougouma Diop
Serigne Fallou Sow
Mouhamadou Moukhtar Diallo
Fallou Diagne
Pape Malick Hanne
Introduction
Les premières attaques réseau exploitaient des vulnérabilités liées à l'implémentation des protocoles
de la suite TCP/IP. Avec la correction progressive de ces vulnérabilités les attaques se sont décalées
vers les couches applicatives et en particulier le web, dans la mesure où la plupart des entreprises
ouvrent leur système pare-feu pour le trafic destiné au web.
Le protocole HTTP (ou HTTPS) est le standard permettant de véhiculer les pages web par un
mécanisme de requêtes et de réponses. Utilisé essentiellement pour transporter des pages web
informationnelles (pages web statiques), le web est rapidement devenu un support interactif
permettant de fournir des services en ligne. Le terme d'« application web » désigne ainsi toute
application dont l'interface est accessible à travers le web à l'aide d'un simple navigateur. Devenu le
support d'un certain nombre de technologies (SOAP, Javascript, XML RPC, etc.), le protocole HTTP
possède désormais un rôle stratégique certain dans la sécurité des systèmes d'information.
Dans la mesure où les serveurs web sont de plus en plus sécurisés, les attaques se sont
progressivement décalées vers l'exploitation des failles des applications web. Ainsi, la sécurité des
services web doit être un élément pris en compte dès leur conception et leur développement.
I-Exploitation des vulnérabilités sur le
frontal http
 1-Exemple du ver Nimda
Le virus Nimda (nom de code W32/Nimda est un ver se propageant à l'aide du
courrier électronique, mais il exploite également 4 autres modes de
propagation :
o Le web
o Les répertoires partagés
o Les failles de serveur Microsoft IIS
o Les échanges de fichiers
Il affecte particulièrement les utilisateurs de Microsoft Outlook sous les
systèmes d'exploitation Windows 95, 98, Millenium, NT4 et 2000 .
 Les actions du virus
Le ver Nimda récupère la liste des adresses présentes dans les carnets d'adresses de
Microsoft Outlook et Eudora, ainsi que les adresses e-mails contenues dans les fichiers
HTML présents sur le disque de la machine infectée.
Puis le virus Nimda envoie à tous les destinataires un courrier dont le corps est vide, dont le
sujet est aléatoire et souvent très long et attache au courrier une pièce jointe nommée
Readme.exe ou Readme.eml (fichier encapsulant un fichier exécutable). Les virus utilisant
une extension du type .eml exploitent une faille de Microsoft Internet Explorer 5.
Enfin, le virus infecte les fichiers exécutables présents sur la machine infectée, ce qui
signifie qu'il est également capable de se propager par échange de fichiers
 Symptomes de l'infection
• Les postes de travail infectés par le ver Nimda possèdent sur leur disque les fichiers
suivants :
• README.EXE
• README.EML
• fichiers comportant l'extension .NWS
• fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe (par exemple mepE002.tmp.exe)
 Eradiquer le virus
Pour éradiquer le ver Nimda, la meilleure méthode consiste tout
d'abord à déconnecter la machine infectée du réseau, puis à utiliser un
antivirus récent .
D'autre part, le virus se propage par l'intermédiaire d'une faille de
sécurité de Microsoft Internet Explorer, ce qui signifie que vous
pouvez être contaminé par le virus en naviguant sur un site infecté.
Pour y remédier il est nécessaire de télécharger le patch (correctif
logiciel) pour Microsoft Internet Explorer 5.01 et 5.5. Ainsi, veuillez
vérifier la version de votre navigateur et télécharger le correctif si
nécessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/def
ault.asp
 2-Exemple de la faille unicode
Pour commencer, il nous faut tout d’abord définir ce qu'est un serveur
http, c’est un serveur qui gère exclusivement des requêtes HTTP. Il a
pour rôle d’intercepter ces requêtes, sur un port qui est par défaut 80,
pour les traiter et générer ensuite des réponses Http.
Tous les serveurs web embarquent un daemon Http (httpd) ou
équivalent qui s’occupe de cette fonctionnalité.
Par exemple de serveur http on a apache nginx,lighttpd,IIS...
Maintenant on va parler du serveur frontal http comme son nom l'indique
frontal qui signifie en anglais, frontend.On l'oppose souvent au backend.
Par exemple, dans les architectures web, on peut utiliser un serveur
frontal HTTP pour traiter les requêtes générales et renvoyer certaines
demandes de service vers un conteneur d'application (comme Tomcat ou
Xamp).
Dans notre cas il s'agit de la mise en place d'un serveur permettant la
dissimulation d'un autre, c'est à dire celle du serveur backend.Le role de ce
dernier est d'intercepter les requêtes utilisateurs et de les ré-envoier vers le
serveur backend. Le serveur frontal agit donc comme un proxy.
Pour exploiter la faille d'un tel serveur il existe plusieurs failles comme la
faille unicode et le ver nimda entre autres ...
La faille unicode
Avant de commencer il nous faut d'abord définir ce qu'est Unicode est un
standard informatique universel d'encodage de caractères compatible avec les
caractères non ASCII.
La faille Unicode touche les serveurs ISS (Microsoft) de la version 3 à
5.1.Pour l'exploiter, il suffit d' ajouter, derrière l'URL du site, une commande
de type MS-DOS.
Ceci lui permettra de lister des fichiers (dir), de copier des fichiers (copy),
avec les commandes MS-DOS traditionnelles.
Ce meme type de faille a permit la reproduction de site dans des naviguateurs
comme google chrome(chrome l'a corrigé dans sa version 58) et firefox.
Pour se protéger de ce genre d'attaque il vous faut
 Entrez dans le champ d’URL :

 about:config

 Puis cherchez la clé :

 network.IDN_show_punycode

 Et mettez là à TRUE.

Ainsi, les noms de domaines exotiques s’afficheront au format punycode, ce qui vous
évitera de tomber dans le panneau.

Autrement, en cas de doute, ce que vous pouvez faire c’est de retaper vous-même l’URL.
II-Attaques sur les configurations
standards
1-Default password
Une vulnérabilité par défaut des informations d'identification est un type
de vulnérabilité qui affecte le plus souvent les périphériques tels que les
modems, les routeurs, les appareils photo numériques et d'autres
périphériques possédant des informations d'identification administratives
prédéfinies (par défaut) pour accéder à tous les paramètres de
configuration. Le vendeur ou le fabricant de ces appareils utilise un seul
ensemble prédéfini d'informations d'identification d'administrateur pour
accéder aux configurations de l'appareil, et tout pirate potentiel peut
abuser de ce fait pour pirater ces appareils, si ces informations
d'identification ne sont pas modifiées par les consommateurs.
Il existe plusieurs Proof-of-Concept (POC), ainsi que des vers du monde
réel fonctionnant sur Internet, qui sont configurés pour rechercher des
systèmes définis avec un nom d'utilisateur et un mot de passe par défaut.
Voyager Alpha Force, Zotob , MySpooler sont quelques exemples de
logiciels malveillants POC qui recherchent des appareils spécifiques sur
Internet et tentent de se connecter en utilisant les informations
d'identification par défaut.
Se proteger?
 Changer les informations d’identification dess la premiere
configuration
 Utiliser des mots de passe robustes
2-Directory transversal
La traversée de répertoire ou Path Traversal est une attaque
HTTP qui permet aux attaquants d'accéder à des répertoires restreints et
d'exécuter des commandes en dehors du répertoire racine du serveur Web.
Les serveurs Web offrent deux principaux niveaux de mécanismes de sécurité :
• Listes de contrôle d'accès (ACL)
• Répertoire racine
Types d’attaques
Avec un système vulnérable à la traversée de répertoire,un attaquant peut utiliser
cette vulnérabilité pour sortir du répertoire racine et accéder à d'autres parties du
système de fichiers.
Cela pourrait donner à l'attaquant la possibilité d'afficher des fichiers restreints,
ce qui pourrait fournir à l'attaquant plus d'informations nécessaires pour
compromettre davantage le système.Selon la façon dont l'accès au site Web est
configuré, l'attaquant exécutera des commandes en se faisant passer pour
l'utilisateur associé au «site Web».
Par conséquent, tout dépend de ce à quoi l'utilisateur du site Web a eu accès dans
le système
Se proteger?

Tout d'abord, assurez-vous d'avoir installé la dernière version de votre

logiciel de serveur Web …assurez-vous que tous les correctifs ont été
appliqués.
Deuxièmement, filtrez efficacement toute entrée utilisateur.
Idéalement, supprimez tout sauf les bonnes données connues et filtrez
les méta-caractères de l'entrée utilisateur. Cela garantira que seul ce qui
doit être entré dans le champ sera soumis au serveur.