Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

L’audit, l’intrusion, la vie : une journée avec l’OSSIR

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur L’audit, l’intrusion, la vie : une journée avec l’OSSIR

La journée de la sécurité des systèmes d’information (JSSI) organisée par l’OSSIR avait ceci de rafraîchissant qu’elle arborait un programme résolument concret : découverte d’outils (NAXSI, un pare-feu applicatif Open Source sur NGINX développé par NBS), rappels juridiques (pentester sans passer par la case prison, par HSC), analyses forensiques sous Windows (Devoteam) et surtout découverte d’horizons sécuritaires moins connus : injections de bases NoSQL (NGM Security) et exploitation XML / XSLT (Agarri).

XML et XSLT

Le travail sur XML / XSLT par Nicolas Grégroire (Agarri) est remarquable. Il mériterait d’être présenté à bon nombre de développeurs web souvent persuadés qu’il est impossible de faire du mal armé d’un vulgaire document XML.

Si les dénis de service (très simples à réaliser et bien connus) ne suffisent pas, Nicolas Grégoire démontre qu’il est également possible d’exécuter du bytecode Java arbitraire et obtenir un reverse shell avec XLT, ou de parcourir des répertoires sur l’hôte afin d’extraire du contenu de fichiers texte avec XML (CWE-611). Et bien entendu qui dit récupération de fichiers texte dit potentiellement extraction des hashes NTLM et pass-the-hash

NoSQL

Autre présentation originale : l’injection de bases NoSQL. Parce qu’elles s’affranchissent des contraintes des schémas et du moteur SQL et sont particulièrement légères, ces dernières sont devenues très populaires dans le monde du web (et même l’équipe de SecurityVibes s’y est intéressé pour de futurs projets).

Nicolas Viot (NGM Security) démontre que les si les technologies changent, les mauvaises habitudes demeurent. Injecter une base NoSQL est non seulement possible mais également très simple. Il le démontre à l’aide de quelques scripts de son cru capables d’extraire, par exemple, les login et mots de passe contenus dans une collection NoSQL utilisée pour contrôle l’accès à une application web vulnérable (ainsi qu’une foule d’autres information, dont la liste des collections présentes et le numéro de version de la base).

La touche désespérante, bien qu’amusante, vient au moment de suggérer des solutions pour protéger les base NoSQL : il faut s’assurer du type des variables attendues et encoder les caractères sensibles, voire utiliser de préférence les API du langage utilisé, si disponibles. Bref, SQL ou NoSQL, même combat !

Pare-feu web

NAXSI, présenté par Thibault Koechlin (NBS) est un pare-feu applicatif web Open Source fortement intégré à NGINX. Il utilise abondamment les capacité de reverse-proxy et la souplesse de ce dernier (donc peu d’espoir d’en voir une version pour Apache toute de suite !). Basé sur un jeu de primitives réduit (essentiellement de la correspondance simple – sans expression régulière – sur les requêtes et pondération par type d’attaque), il n’utilise pas de signatures extrêmement spécifiques. Il offre également un mode d’apprentissage et permet aux utilisateurs de préciser eux-même les exceptions afin d’éviter les faux positifs (le produit est destiné aux hébergeurs, autant déléguer ce travail aux utilisateurs !).

Loin de n’être qu’un prototype, NAXSI a été déployé en production afin de protéger le site web de l’hebdomadaire satirique Charlie Hebdo. Après avoir publié des dessins jugés offensant par certains courants de la communauté musulmane, celui-ci a subi plusieurs defacements et des attaques par déni de service. Le site a alors été hébergé par NBS et protégé avec succès derrière NAXSI.

Juridique

Enfin, le point juridique proposé par Frédéric Connes (HSC) a rappelé combien il était nécessaire pour les pentesters d’être sensibilisés aux risques juridiques, afin de rester dans le cadre de la loi. Il a notamment couvert l’éventualité de la découverte, durant l’audit, d’activités illégales menées par le client. En cas de crime, l’auditeur est alors obligé par la loi de le signaler, tandis qu’il pourra garder le silence sur les délits (sauf s’il est fonctionnaire, auquel cas il doit tout signaler).

Le cas particulier de l’ingénierie sociale (une technique terriblement efficace !) a également été abordé : puisqu’il s’agit d’usurper l’identité d’un collaborateur de l’entreprise, il faut que cela soit spécifiquement mentionné dans la convention d’audit et que les personnes dont l’identité va être usurpée donnent leur accord (ce qui peut présenter un problème en cas d’audit à charge).

Forsensic Windows

Quant à l’analyse forensique sous Windows, la présentation par Nicolas Hanteville (Devoteam) aura au moins contribué à rappeler que c’est un métier. Pour le reste, votre serviteur avoue n’avoir rien compris aux méthodes présentées ! Sauf une : les attaquants peuvent utiliser les alternate data stream pour dissimuler du contenu sur la machine auditée. Cela permet de cacher, par exemple, un volume TrueCrypt de bonne taille sous un fichier texte d’un kilo-octets. Diabolique !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.