<!-- If the browser does not support frames put the first topic content here --> <div class="WordSection1"> <p class="titredocument"><span style= 'font-size:15.0pt'>Sécurisation des applications Web</span></p> <h2><a name="_Toc96200379">Activité 1 : Injections</a></h2> <p class="Standard"> </p> <p class="MsoToc2"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200379">Activité 1 : Injections<span style= 'color:windowtext;text-decoration:none'>.................................................................................</span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200380">I<span style= 'color:windowtext;text-decoration:none'> </span> Objectifs à atteindre<span style= 'color:windowtext;text-decoration:none'>......................................................................</span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200381">II<span style= 'color:windowtext;text-decoration:none'> </span> Présentation de la notion d'injection<span style= 'color:windowtext;text-decoration:none'>................................................</span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200382">1<span style= 'color:windowtext;text-decoration:none'> </span> Définition de la notion d'injection<span style= 'color:windowtext;text-decoration:none'>..................................................</span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200383">2<span style= 'color:windowtext;text-decoration:none'> </span> Exemple d'injection SQL (SQLi)<span style= 'color:windowtext;text-decoration:none'>..................................................</span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200384">III<span style= 'color:windowtext;text-decoration:none'> </span> Présentation des défis<span style= 'color:windowtext;text-decoration:none'>...................................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200385">IV<span style= 'color:windowtext;text-decoration:none'> </span> Travaux préparatoires<span style= 'color:windowtext;text-decoration:none'>...................................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc3"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200386"><span style= 'color:windowtext;text-decoration:none'>.............................................................................................................</span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200387">V<span style= 'color:windowtext;text-decoration:none'> </span> Découverte de la sensibilité SQLi<span style= 'color:windowtext;text-decoration:none'>..................................................</span> <span style= 'color:windowtext;text-decoration:none'>6</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200388">VI<span style= 'color:windowtext;text-decoration:none'> </span> A vous de jouer<span style= 'color:windowtext;text-decoration:none'>.............................................................................</span> <span style= 'color:windowtext;text-decoration:none'>7</span></a></span></p> <p class="MsoToc3"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200389"><span style= 'color:windowtext;text-decoration:none'>.............................................................................................................</span> <span style= 'color:windowtext;text-decoration:none'>7</span></a></span></p> <p class="MsoToc3"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200390"><i>Deuxième défi : Passer outre une authentification</i><span style= 'color:windowtext; text-decoration:none'>....................................</span> <span style= 'color:windowtext;text-decoration:none'>7</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200391">VII<span style= 'color:windowtext;text-decoration:none'> </span> Contre-mesures<span style= 'color:windowtext;text-decoration:none'>.........................................................................</span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="Standard"> </p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200380">I<span style= 'font:7.0pt "Times New Roman"'> </span> Objectifs à atteindre</a></h4> <p class="Standard">Comprendre la notion d'injection, réaliser les deux défis présentés et comprendre le code source des scripts PHP utilisés (non sécurisé et sécurisé).</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200381">II<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation de la notion d'injection</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200382">1<span style= 'font:7.0pt "Times New Roman"'> </span> Définition de la notion d'injection</a></h5> <p class="Standard">Les défauts d'injection, tels que l'injection SQL ou l'injection LDAP, se produisent lorsque des <b>données non attendues</b> sont envoyées à un interpréteur en tant que commande ou requête. Ces données envoyées par l'attaquant peuvent entraîner l'exécution de commandes et ainsi permettre l'accès à des informations confidentielles. L'injection la plus connue reste l'injection SQL (SQLi).</p> <p class="Standard"> </p> <p class="Standard">De nombreuses applications web travaillent autour d'un <b>système de gestion de base de données</b> (SGBDR) et comportent des <b>formulaires</b> qui attendent des données fournies par les utilisateurs. Si le développeur ne travaille que sur les scénarios attendus de saisies des données, il risque de ne pas intégrer de <b>contrôles de validation</b> (input validation) ce qui peut entraîner une sensibilité à l'injection.</p> <p class="Standard"> </p> <p class="Standard">De nombreux outils permettent d'automatiser la <b>détection</b> et <b>l'exploitation</b> des vulnérabilités SQLi. On peut citer :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Burpsuite ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Vega ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> SQLMAP ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> SQL ninja ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Arachni ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Script Engine de NMAP…</p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200383">2<span style= 'font:7.0pt "Times New Roman"'> </span> Exemple d'injection SQL (SQLi)</a></h5> <p class="Standard">De nombreux exemples d'injections SQL sont disponibles sur Internet. Wikipedia donne un exemple simple qui illustre le fonctionnement d'une requête SQL afin de compromettre le mot de passe d'un utilisateur.</p> <p class="Standard"> </p> <p class="Standard">On considère le champ associé au <i>login</i> et le champ associé au <i>mot</i> <i>de passe</i> et on suppose que l'attaquant connaît le login de la victime (voir les techniques d'ingénierie sociale et de manipulation). La saisie suivante peut être mise en place si le site est sensible aux injections SQL :</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;line-height: 150%'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style= 'position:absolute;z-index:251658240;left:0px; margin-left:173px;margin-top:293px;width:72px;height:34px'> <img width="58" height="27" src= "owasp-activite1_injection_fichiers/image001.gif" alt= "image" /></span>Utilisateur : admin</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;line-height: 150%'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> mot de passe : ' or 1 --</p> <p class="Standard"> </p> <p class="Standard">L'apostrophe indique la fin de la zone de frappe de l'utilisateur, le code « or 1 » demande au script si 1 est vrai, or c'est toujours le cas, et les doubles tirets indiquent le début d'un commentaire.</p> <p class="Standard"> </p> <p class="Standard">La requête SQL pourra ainsi ressembler à ceci :</p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="Standard">select uid FROM Users where Name = 'admin' AND Password = ' ' OR 1 -- ;</p> </td> </tr> </table> <p class="Standard"> </p> <p class="Standard">Le script devient ainsi programmé pour vérifier si ce que l'utilisateur saisit est vrai. Comme 1 est vrai, l'attaquant sera connecté en tant qu'administrateur.</p> <p class="Standard"> </p> <p class="Standard">Si l’exemple présenté parait très simple, il existe des injections beaucoup plus compliquées qui sont testées par les outils précédemment cités.</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200384">III<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation des défis</a></h4> <p class="Standard">Deux défis sont à relever dans cette première activité.</p> <p class="Standard"> </p> <p class="Standard"><b><i>Défi 1 : Extraction de données</i></b></p> <p class="Standard"> </p> <p class="Standard">Le but est d'obtenir la liste de tous les utilisateurs.</p> <p class="Standard"> </p> <p class="Standard"><b><i>Défi 2 : Passer outre une authentification</i></b></p> <p class="Standard"><b><i> </i></b></p> <p class="Standard">Le but est de s'authentifier à l'aide du compte d'un autre utilisateur.</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200385">IV<span style= 'font:7.0pt "Times New Roman"'> </span> Travaux préparatoires</a></h4> <p class="Standard"> </p> <p class="Standard">Il faut commencer par créer un compte sur Mutillidae. Pour cela, cliquer sur le lien <i>Login/register</i>.</p> <h3><img width="170" height="33" src= "owasp-activite1_injection_fichiers/image002.jpg" align="left" hspace="12" alt="image" /><a name="_Toc96200386"></a><img width= "117" height="30" src= "owasp-activite1_injection_fichiers/image003.jpg" align="left" hspace="12" alt="image" /></h3> <p class="Textbody"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="28" height="431"></td> </tr> <tr> <td></td> <td><img width="17" height="17" src= "owasp-activite1_injection_fichiers/image004.gif" alt= "image" /></td> </tr> </table> <p class="Standard"> </p> <br clear="all" /> <p class="Standard">Puis suivre le lien "Please register here".</p> <p class="Standard"> </p> <p class="Standard">Une fois authentifié, une indication apparaît en haut à droite de l'écran. Cette indication permettra de vérifier si certains défis sont réalisés avec succès.</p> <p class="Standard"> </p> <p class="Textbody"><img width="245" height="28" src= "owasp-activite1_injection_fichiers/image005.jpg" align="left" hspace="12" alt="image" /><img width="144" height="26" src= "owasp-activite1_injection_fichiers/image006.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="25" height="457"></td> </tr> <tr> <td></td> <td><img width="17" height="17" src= "owasp-activite1_injection_fichiers/image004.gif" alt= "image" /></td> </tr> </table> <p class="Textbody"> </p> <br clear="all" /> <p class="Standard">Le niveau de sécurité du code mis en place est indiqué en haut de la page près des informations d'authentification.</p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style='border-collapse:collapse'> <tr> <td width="345" valign="top" style= 'width:241.0pt;border:solid black 1.0pt; border-right:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><img width="237" height="25" src= "owasp-activite1_injection_fichiers/image007.jpg" align="left" hspace="12" alt="image" /></p> </td> <td width="279" valign="top" style= 'width:227.0pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents">Absence de contrôle de sécurité.</p> </td> </tr> <tr> <td width="345" valign="top" style= 'width:241.0pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><img width="314" height="33" src= "owasp-activite1_injection_fichiers/image008.jpg" align="left" hspace="12" alt="image" /></p> </td> <td width="279" valign="top" style= 'width:227.0pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents">Contrôles des informations saisies coté client.</p> </td> </tr> <tr> <td width="345" valign="top" style= 'width:241.0pt;border-top:none;border-left: solid black 1.0pt;border-bottom:solid black 1.0pt;border-right:none; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><img width="314" height="39" src= "owasp-activite1_injection_fichiers/image009.jpg" align="left" hspace="12" alt="image" /></p> </td> <td width="279" valign="top" style= 'width:227.0pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents">Contrôles des informations saisies coté serveur</p> </td> </tr> </table> <p class="Textbody"> </p> <p class="Textbody" style='page-break-before:always'> </p> <p class="Standard">Le niveau de sécurité du code mis en œuvre se modifie en cliquant sur le lien <i>Toggle Security</i>.</p> <p class="Standard"> </p> <p class="Textbody"><img width="119" height="32" src= "owasp-activite1_injection_fichiers/image010.jpg" align="left" hspace="12" alt="image" /></p> <p class="Textbody"> </p> <p class="Standard">Chaque niveau de sécurité est disponible sur le même script PHP. Ces scripts sont stockés sur le serveur dans le répertoire /var/www/html/mutillidae/ et également fournis dans le répertoire partagé SIO2,</p> <p class="Standard"> </p> <p class="Standard">Pour les deux défis de cette activité, c'est le formulaire d'authentification qui servira de base de travail.</p> <p class="Textbody"><img width="411" height="189" src= "owasp-activite1_injection_fichiers/image011.jpg" align="left" hspace="12" alt="image" /></p> <p class="Textbody"> </p> <p class="Textbody"> </p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Certains défis nécessitent de connaître les noms des champs de formulaires utilisés. Cette information peut s'obtenir facilement en observant le code source de la page (CTRL + U).</p> <p class="Standard"> </p> <p class="Standard"><img width="524" height="72" src= "owasp-activite1_injection_fichiers/image012.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard">Cette activité peut être réalisée sans utiliser l’outil BurpSuite. Toutefois, une première prise en main est possible : elle permettrait de trouver le nom des champs du formulaire. La démarche de capture d’un premier paquet est décrite dans le document <span style= 'font-family:"Courier New"'>owasp-mise_en-place</span> au paragraphe IV-2.3.</p> <p class="Standard"> </p> <p class="Standard"><b><u>Première prise en main de l’outil BurpSuite :</u></b></p> <p class="Standard"> </p> <p class="Standard">BurpSuite peut être utilisé dans un premier temps pour découvrir le nom des champs d’un formulaire. Les étapes à suivre sont les suivantes :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> Vérifier que le serveur Mutillidae est démarré (machine d’adresse IP 192.168.1.11).</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> Depuis la machine cliente d’adresse IP 192.168.1.12, accéder à la page d’accueil d’OWASP via le lien suivant : 192.168.1.11/mutillidae</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 3.<span style= 'font:7.0pt "Times New Roman"'> </span> Dans les options du navigateur. Pour Firefox aller dans les <b>Parametres</b>, puis sur <b>Parametres</b> <b>Réseau</b> et sur <b>Paramètres</b> afin de configurer l’utilisation du proxy BurpSuite.<br /> Pour Chrome aller dans <b>Parametres</b> puis <b>Parametres avancés</b> et <b>Systeme et Accéder au parametrage manuel du proxy de votre ordinateur,</b></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 4.<span style= 'font:7.0pt "Times New Roman"'> </span> Indiquer <b>127.0.0.1</b> comme adresse IP et <b>8080</b> comme numéro de port dans la mesure où BurpSuite est installé sur la machine cliente :</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="79" height="897"></td> <td width="294"></td> <td width="158"></td> <td width="159"></td> </tr> <tr> <td height="6"></td> <td rowspan="2" align="left" valign="top"><img width="235" height= "34" src="owasp-activite1_injection_fichiers/image013.gif" alt= "image" /></td> </tr> <tr> <td height="36"></td> <td></td> <td rowspan="2" align="left" valign="top"><img width="127" height= "33" src="owasp-activite1_injection_fichiers/image014.gif" alt= "image" /></td> </tr> <tr> <td height="5"></td> </tr> </table> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="37" height="0"></td> </tr> <tr> <td></td> <td><img width="548" height="152" src= "owasp-activite1_injection_fichiers/image015.jpg" alt= "image" /></td> </tr> </table> <br clear="all" /> <br clear="all" /> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 5.<span style= 'font:7.0pt "Times New Roman"'> </span> Démarrer BurpsSuite en suivant le cheminement suivant : <b>Temporary project</b> => <b>Use Burp defaults</b>. Aller dans l’onglet <b>Proxy</b> puis sur <b>Intercept</b>, vérifier que le proxy est désactivé (<b>Intercept is off</b>).</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 6.<span style= 'font:7.0pt "Times New Roman"'> </span> Retourner sur la page d’accueil de Mutillidae et cliquer sur le lien <b>Login/Register</b> en haut à gauche.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="90" height="814"></td> </tr> <tr> <td></td> <td><img width="78" height="28" src= "owasp-activite1_injection_fichiers/image016.gif" alt= "image" /></td> </tr> </table> <img width="581" height="38" src= "owasp-activite1_injection_fichiers/image017.jpg" align="left" hspace="12" alt="image" /> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 7.<span style= 'font:7.0pt "Times New Roman"'> </span> Saisir un login dans le champ <b>Username</b> et un mot de passe dans le champ <b>Password</b> sans cliquer sur le bouton <b>Login</b>.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 8.<span style= 'font:7.0pt "Times New Roman"'> </span> Dans l’outil BurpSuite, activer le proxy en cliquant sur <b>Intercept is off</b>. Le bouton devient <b>Intercep is on</b>.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 9.<span style= 'font:7.0pt "Times New Roman"'> </span> Revenir sur la page d’authentification de Mutillidae et cliquer sur le bouton <b>Login</b>.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 10.<span style='font:7.0pt "Times New Roman"'> </span> Revenir sur BurpSuite et cliquer sur le bouton <b>Forward</b> dans le sous onglet <b>Intercept</b> de l’onglet <b>Proxy</b>. Le nom des champs est visible dans la partie <i>inspector</i> (à droite de l’écran),</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="170" height="1058"></td> </tr> <tr> <td></td> <td><img width="246" height="30" src= "owasp-activite1_injection_fichiers/image018.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="642" height="215" src= "owasp-activite1_injection_fichiers/image019.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Le mot de passe capturé ici est celui de notre propre compte saisi depuis notre machine cliente. Rien d’extraordinaire pour le moment, ce qui nous intéresse est le nom des champs utilisés. L’objectif était seulement de se familiariser avec BurpSuite. En effet, le nom des champs peut s’obtenir en observant le code source de la page web (CTRL + U).</p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 1<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> </p> <p class="Standard" align="left" style= 'margin-left:42.55pt;text-align:left; text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Créer un compte permettant de vous authentifier sur la plate forme.</p> <p class="Standard" align="left" style= 'margin-left:42.55pt;text-align:left; text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Utiliser une méthode de votre choix afin de découvrir les noms des champs <i>login</i> et <i>mot de</i> <i>passe</i> du formulaire d'authentification.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Positionner le niveau de sécurité du code à 0 (Hosed).</p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200387">V<span style= 'font:7.0pt "Times New Roman"'> </span> Découverte de la sensibilité SQLi</a></h4> <p class="Standard">Une fois les travaux préparatoires effectués, il est nécessaire de passer à la phase de découverte des vulnérabilités SQLi.</p> <p class="Standard"> </p> <p class="Standard">La plateforme Mutillidae offre des pages sensibles à la faille SQLi. Bien évidemment, tous les sites web ne donnent pas de réponses positives aux tests de vulnérabilités. Cela dépend du niveau de sécurité de leur code.</p> <p class="Standard"> </p> <p class="Standard">Afin de valider la sensibilité SQLi, aller sur la page permettant de se connecter. Il faut aussi penser à vérifier que le niveau de sécurité sélectionné est 0 (Hosed).</p> <p class="Standard"> </p> <p class="Standard">Il suffit alors de saisir une quote dans le champ associé au mot de passe.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="91" height="1115"></td> <td width="242"></td> <td width="128"></td> <td width="189"></td> </tr> <tr> <td height="28"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="151" height="22" src= "owasp-activite1_injection_fichiers/image020.gif" alt= "image" /></td> </tr> <tr> <td height="155"></td> </tr> <tr> <td height="35"></td> <td align="left" valign="top"><img width="194" height="28" src= "owasp-activite1_injection_fichiers/image021.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="642" height="263" src= "owasp-activite1_injection_fichiers/image022.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Dans cet exemple, l'outil <i>Web developer</i> de Firefox a été utilisé afin de rendre visible les données saisies dans le champ associé au mot de passe. Cette manipulation n'est pas indispensable pour relever les défis présentés. Elle sert uniquement à illustrer la saisie de la quote.</p> <p class="Standard"> </p> <p class="Standard">Lors du clic sur le bouton <i>Login</i>, une erreur apparaît dévoilant la sensibilité SQLi.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="117" height="1293"></td> </tr> <tr> <td></td> <td><img width="355" height="20" src= "owasp-activite1_injection_fichiers/image023.gif" alt= "image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="642" height="225" src= "owasp-activite1_injection_fichiers/image024.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Ce message d'erreur est particulièrement instructif pour une personne malveillante.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 2<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Tester une détection manuelle de la sensibilité SQLi.</p> <span style= 'font-size:12.0pt;font-family:"Arial",sans-serif'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><span style= 'font-size:10.0pt;color:navy'> </span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200388">VI<span style= 'font:7.0pt "Times New Roman"'> </span> A vous de jouer</a></h4> <p class="Standard">Le but est de relever les deux défis présentés dans le paragraphe 3 de cette activité. Une recherche sur Internet permet d'obtenir de nombreux exemples d'injections à tester.</p> <p class="Standard"> </p> <p class="Standard"><b><i>Premier défi : Extraction de données</i></b></p> <p class="Standard"> </p> <p class="Textbody">Le but est d'obtenir la liste de tous les utilisateurs. Pour lancer le défi, il faut suivre le cheminement suivant : OWASP 2017 => A1 – Injection (SQL) => SQLi – Extract Data => User Info (SQL).</p> <p class="Standard"><img width="605" height="22" src= "owasp-activite1_injection_fichiers/image025.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Le nom du script PHP sur le serveur est <i>user-info.php</i>.</p> <p class="Standard"> </p> <p class="Standard">En temps normal, cette page permet d'afficher le détail des informations d'un compte utilisateur.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <h3><i><span style='color:#0000CC'> </span></i></h3> <h3><img width="605" height="235" src= "owasp-activite1_injection_fichiers/image026.jpg" align="left" hspace="12" alt="image" /><a name="_Toc96200389"></a></h3> <h3><a name="_Toc96200390"><i>Deuxième défi : Passer outre une authentification</i></a></h3> <p class="Standard"> </p> <p class="Standard">Le but est de s'authentifier à l'aide du compte d'un autre utilisateur de votre choix. Pour lancer le défi, il faut suivre le cheminement suivant : OWASP 2017 => A1 – Injection (SQL) => SQLi – Bypass Authentication => Login.</p> <p class="Standard"><span style='color:blue'> </span></p> <p class="Standard"><img width="605" height="42" src= "owasp-activite1_injection_fichiers/image027.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Le nom du script PHP sur le serveur est <i>login.php</i>. En temps normal, cette page offre un formulaire d'authentification.</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 3<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Réaliser les deux défis présentés en testant les injections suivantes :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:18.0pt;text-indent:-18.0pt'> <span style='font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> 'or ('a' = 'a' ) or '</p> <p class="Standard" style='margin-left:18.0pt;text-indent:-18.0pt'> <span style='font-family:Wingdings'>v<span style= 'font:7.0pt "Times New Roman"'> </span></span> ' or username='admin</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Reporter sur votre documentation les injections testées.</p> <p class="Standard"> </p> <span style= 'font-size:12.0pt;font-family:"Arial",sans-serif'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><span style= 'font-size:10.0pt;color:navy'> </span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200391">VII<span style= 'font:7.0pt "Times New Roman"'> </span> Contre-mesures</a></h4> <p class="Standard">La contre-mesure à ces vulnérabilités passe par la mise en place d'un codage sécurisé. En modifiant le niveau de sécurité les tests précédents doivent échouer.</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 4<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Modifier le niveau de sécurité et vérifier que les tests d'exploitation des failles SQLi échouent.</p> <p class="Standard"> </p> <p class="Standard">En utilisant le fichier user-info.php, répondre aux questions suivantes.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Quel niveau de sécurité est nécessaire pour protéger contre cette attaque ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> A ce niveau, quels sont les contrôles réalisés ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Est-ce que le contrôle HTML aurait suffit à protéger contre cette injection SQL.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q5.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Comment la validation javascript est-elle déclenchée ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q6.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Quels sont les contrôles réalisés par la validation Javascript ?</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><b><u><span style='color:#006600'>Prolongement possible :</span></u></b></p> <p class="Standard"><span style='color:#006600'> </span></p> <p class="Standard"><span style='color:#006600'>Reprendre une application existante (TP/PPE) et mettre en place le niveau de sécurité 5.</span></p> </div>
Table des matières
Sujets
Recherche
Activité 1 : Injections
I Objectifs à atteindre
II Présentation de la notion d'injection
1 Définition de la notion d'injection
2 Exemple d'injection SQL (SQLi)
III Présentation des défis
IV Travaux préparatoires
V Découverte de la sensibilité SQLi
VI A vous de jouer
Deuxième défi : Passer outre une authentification
VII Contre-mesures
1 Définition de la notion d'injection
2 Exemple d'injection SQL (SQLi)
Activité 1 : Injections
Deuxième défi : Passer outre une authentification
III Présentation des défis
II Présentation de la notion d'injection
IV Travaux préparatoires
I Objectifs à atteindre
VII Contre-mesures
VI A vous de jouer
V Découverte de la sensibilité SQLi
Générée avec
chmProcessor
Générée avec
chmProcessor