<!-- If the browser does not support frames put the first topic content here --> <div class="WordSection1"> <p class="titredocument"><span style= 'font-size:15.0pt'>Sécurisation des applications Web</span></p> <h2><a name="_Toc96200501"><span style='font-size:15.0pt'>Activité 2: Vulnérabilités liées à l’authentification et à la gestion des sessions</span></a></h2> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.85pt;border-collapse:collapse'> <tr style='height:11.25pt'> <td width="125" style= 'width:93.4pt;border:solid navy 1.0pt;border-right:none; background:#6699CC;padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Propriétés</span></p> </td> <td width="491" style= 'width:368.35pt;border:solid navy 1.0pt;background:#6699CC; padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Description</span></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé long</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications web</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé court</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Sécurisation des applications web</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Formation concernée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">BTS Services Informatiques aux Organisations</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Matière</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Bloc 3 : Cybersécurité des services informatiques en deuxième année SLAM</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Présentation</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Cet atelier a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae (OWASP) afin de se familiariser avec les principales vulnérabilités des applications web.</p> <p class="Standard">Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP (page 4).</p> <p class="Standard">Dans un premier temps, Vous devez réaliser les attaques associées à chaque vulnérabilité.</p> <p class="Standard">Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.</p> <p class="Standard"> </p> <p class="Standard"><b>Cette deuxième activité</b> traite des problématiques d’authentification et de gestion des sessions.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Notions</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Paragraphedeliste1" align="left" style= 'margin-left:0cm;text-align: left;layout-grid-mode:char'> <b>Activités supports de l’acquisition des compétences</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><b>D4.1 – Maintenance d'une solution applicative</b></p> <p class="Standard" align="left" style= 'margin-left:36.0pt;text-align:left; text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> A4.2.1 Analyse et correction d'un dysfonctionnement, d'un problème de qualité de service ou de sécurité.</p> <p class="Standard" align="left" style= 'text-align:left;layout-grid-mode:char'><b>Savoir-faire</b></p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Programmer un composant logiciel.</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Adapter un composant logiciel.</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Valider et documenter un composant logiciel.</p> <p class="Standard" style='layout-grid-mode:char'><b>Savoirs associés</b></p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Techniques de sécurisation.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Prérequis</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Commandes de base d’administration d’un système Linux, langages PHP et JavaScript. Avoir lu la présentation et réalisé les installations nécessaires à l’activité 1.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Outils</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Deux machines virtualisées (sous Virtualbox) sont fournies avec Linux (Debian 9) comme système d’exploitation.</p> <p class="Standard" style='layout-grid-mode:char'> </p> <p class="Standard" style='layout-grid-mode:char'>Site officiel : https://www.owasp.org</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Mots-clés</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">OWASP, Mutillidae, BurpSuite, vulnérabilités, SQLi, XSS, IDOR.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Durée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Une heure pour cette activité.</p> </td> </tr> </table> <p class="Standard"><span style= 'font-size:15.0pt'> </span></p> <p class="Standard"> </p> <h4><span style='font-size:10.0pt;color:navy'> </span></h4> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <p class="MsoToc2"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200501">Activité 2: Vulnérabilités liées à l’authentification et à la gestion des sessions<span style= 'color:black;text-decoration:none'>..................................................................................................</span> <span style= 'color:black;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200502">I<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Présentation générale<span style= 'color:black;text-decoration:none'>...............................................................</span> <span style= 'color:black;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200503">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Le risque A2 du top 10 d’OWASP<span style= 'color:black;text-decoration:none'>...........................................</span> <span style= 'color:black;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200504">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Conséquences<span style= 'color:black; text-decoration:none'>......................................................................</span> <span style= 'color:black;text-decoration:none'>2</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200505">3<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Bonnes pratiques<span style= 'color:black; text-decoration:none'>..................................................................</span> <span style= 'color:black;text-decoration:none'>4</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200506">II<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Objectifs et architecture générale de l’activité<span style= 'color:black;text-decoration:none'>.............................</span> <span style= 'color:black;text-decoration:none'>4</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200507">III<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Premier défi : énumération des logins<span style= 'color:black;text-decoration:none'>........................................</span> <span style= 'color:black;text-decoration:none'>6</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200508">1.<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Objectif<span style= 'color:black; text-decoration:none'>................................................................................</span> <span style= 'color:black;text-decoration:none'>6</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200509">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> A vous de jouer<span style= 'color:black; text-decoration:none'>.....................................................................</span> <span style= 'color:black;text-decoration:none'>6</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200510">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Bonnes pratiques<span style= 'color:black; text-decoration:none'>..................................................................</span> <span style= 'color:black;text-decoration:none'>7</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200511">IV<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Deuxième défi : Force brute sur un mot de passe<span style= 'color:black;text-decoration:none'>.......................</span> <span style= 'color:black;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200512">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Objectif<span style= 'color:black; text-decoration:none'>................................................................................</span> <span style= 'color:black;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200513">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> A vous de jouer<span style= 'color:black; text-decoration:none'>.....................................................................</span> <span style= 'color:black;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200514">3<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Bonnes pratiques<span style= 'color:black; text-decoration:none'>..................................................................</span> <span style= 'color:black;text-decoration:none'>8</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200515">V<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Troisième défi : Vol de session<span style= 'color:black;text-decoration:none'>...................................................</span> <span style= 'color:black;text-decoration:none'>9</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200516">1<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Objectif<span style= 'color:black; text-decoration:none'>................................................................................</span> <span style= 'color:black;text-decoration:none'>9</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200517">2<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> A vous de jouer<span style= 'color:black; text-decoration:none'>.....................................................................</span> <span style= 'color:black;text-decoration:none'>9</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200518">3<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Bonnes pratiques<span style= 'color:black; text-decoration:none'>..................................................................</span> <span style= 'color:black;text-decoration:none'>9</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200519">VI<span style= 'font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext; text-decoration:none'> </span> Conclusion<span style= 'color:black; text-decoration:none'>..............................................................................</span> <span style= 'color:black;text-decoration:none'>10</span></a></span></p> <p class="MsoToc1"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200520">Dossier 1 : Énumération des logins<span style= 'color:black;text-decoration:none'>..............................................................</span> <span style= 'color:black;text-decoration:none'>11</span></a></span></p> <p class="MsoToc1"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200521">Dossier 2 : Force brute d’un mot de passe<span style= 'color:black;text-decoration: none'>...................................................</span> <span style= 'color:black;text-decoration:none'>19</span></a></span></p> <p class="MsoToc1"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200522">Dossier 3 : Vol de session (Facultatif)<span style= 'color:black;text-decoration: none'>..........................................................</span> <span style= 'color:black;text-decoration:none'>22</span></a></span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200502">I<span style= 'font:7.0pt "Times New Roman"'> </span> Présentation générale</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200503">1<span style= 'font:7.0pt "Times New Roman"'> </span> Le risque A2 du top 10 d’OWASP</a></h5> <p class="Standard">Lors du développement d’une application, le codage des fonctions liées à l’authentification et à la gestion des sessions (cookie de session) peuvent être incorrectement implémentées, permettant ainsi à des attaquants de compromettre des mots de passe et des identifiants de session.</p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200504">2<span style= 'font:7.0pt "Times New Roman"'> </span> Conséquences</a></h5> <p class="Standard">En cas de force brute sur des mots de passe ou de vol d’identifiant de session (session hijacking), une personne malveillante peut s’identifier avec le compte d’un autre utilisateur voire avec celui de l’administrateur. Les conséquences peuvent être particulièrement graves sur une application manipulant des données hautement confidentielles (applications médicales, bancaires…). Par ailleurs, le <b>Règlement général sur la protection des données</b> (RGPD) confère à la CNIL des missions supplémentaires et un pouvoir de contrôle et de sanction accru en matière de protection des données ce qui renforce l’obligation des entreprises d’assurer la sécurité des données manipulées.</p> <p class="Standard"> </p> <p class="Standard" style='margin-bottom:2.85pt'>Si le codage des fonctions liées à l’authentification et à la gestion des sessions est mal implémenté, l’application web risque d’offrir <b>les vulnérabilités suivantes</b> :</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <b>1.<span style= 'font:7.0pt "Times New Roman"'> </span></b> <b>Tests d’authentification possibles sur des listes de login et de mots de passe : énumération des logins valides puis force brute des mots de passe ;</b></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> Identification à l’aide de mots de passe par défaut encore actifs lors de la phase de déploiement de l’application : certaines applications web comportent des comptes avec des mots de passe par défaut (glpi/glpi pour l’application GLPI ou nagios/nagiosadmin pour l'application nagios ou admin/cisco sur un routeur Cisco WRV215 , etc.) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 3.<span style= 'font:7.0pt "Times New Roman"'> </span> Création autorisée de comptes utilisateurs avec des mots de passe non sécurisés tels que admin ou password1 ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 4.<span style= 'font:7.0pt "Times New Roman"'> </span> Codage non sécurisé des fonctionnalités permettant à un utilisateur de retrouver son mot de passe en cas d’oubli ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 5.<span style= 'font:7.0pt "Times New Roman"'> </span> Mots de passe écrits en dur dans du code source, mots de passe non chiffrés ou faiblement hashés (absence de fonction de salage) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 6.<span style= 'font:7.0pt "Times New Roman"'> </span> Absence ou mauvais codage des fonctions gérant les authentifications multi-formes pour les applications très sensibles en terme de confidentialité des informations ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 7.<span style= 'font:7.0pt "Times New Roman"'> </span> <b>Mauvaise implémentation des cookies de session : cookie d’identifiant de session prévisible</b>, exposition des sessions ID dans l’URL, absence de rotation des sessions ID après un succès d’authentification ou après une déconnexion, pas de timeout sur les sessions ID.</p> <p class="Standard"> </p> <p class="Standard">Côté mise en pratique, cette deuxième activité exploite quelques exemples des vulnérabilités décrites dans les points 1. et 7.</p> <span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'><br clear="all" style='page-break-before:always' /></span> <p class="Standard"> </p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200505">3<span style= 'font:7.0pt "Times New Roman"'> </span> Bonnes pratiques</a></h5> <p class="Standard"><b>Les bonnes pratiques</b> suivantes peuvent être mises en place en tant que limitations ou contre-mesures des vulnérabilités présentées en amont :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> Le développeur ne doit pas indiquer la raison d’un échec d’authentification : login incorrect ou mot de passe incorrect. Il faut simplement indiquer qu’il y a un échec d’authentification sans donner plus de détails par une phrase du type : échec d’authentification ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> Il faut coder des fonctions qui imposent un changement de mot de passe lors de la première connexion et supprimer les comptes inutiles comportant des mots de passe par défaut lors du déploiement de l’application ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 3.<span style= 'font:7.0pt "Times New Roman"'> </span> Il faut interdire les mots de passe non sécurisés (mots de passe du dictionnaire) en testant la solidité des mots de passe au moment de la création des comptes (codage qui impose une longueur minimale, la présence de caractères spéciaux…) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 4.<span style= 'font:7.0pt "Times New Roman"'> </span> Il faut s’assurer que les fonctions permettant de retrouver un mot de passe en cas d’oubli ne présentent pas un codage trop laxiste (demande d’une couleur préférée par exemple) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 5.<span style= 'font:7.0pt "Times New Roman"'> </span> Externaliser le stockage des mots de passe et les stocker sous forme chiffrée : ne pas stocker des mots de passe en clair dans du code source, utiliser des fonctions de salage lorsque les mots de passe sont hashés afin de prévenir les attaques du type table arc-en-ciel (rainbow table<a href="start.htm#_ftn1" name= "_ftnref1" title=""><span class="MsoFootnoteReference"><span class= "MsoFootnoteReference"><span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'>[1]</span></span></span></a>) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 6.<span style= 'font:7.0pt "Times New Roman"'> </span> Les applications manipulant des informations hautement confidentielles doivent comporter des modules d’authentifications multi-formes en plus du traditionnel login/mot de passe : possession d’un objet pour déchiffrer un contenu, biométrie, géolocalisation… ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 7.<span style= 'font:7.0pt "Times New Roman"'> </span> Générer des cookies d’identifiant de sessions non prévisibles, qui changent après un succès d’authentification, les désactiver après une déconnexion et programmer une durée de validité (timeout).</p> <p class="Standard"> </p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200506">II<span style= 'font:7.0pt "Times New Roman"'> </span> Objectifs et architecture générale de l’activité</a></h4> <p class="Standard"> </p> <p class="Standard">Trois défis sont proposés pour illustrer la sécurisation de l’authentification et des sessions :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> l’énumération des logins : il s’agit d’énumérer des logins valides à partir d’un dictionnaire ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> une attaque par force brute sur un login valide : l’attaquant étant certain qu’un login est valide, il peut tenter une force brute sur le mot de passe ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> un vol de session à l’aide d’un cookie d’identification prévisible afin de s’identifier à l’aide du compte d’un autre utilisateur sans connaître son login et son mot de passe.</p> <p class="Standard"> </p> <p class="Standard"><b>Ces trois défis peuvent être réalisés de manière indépendante. Chaque défi est associé à un dossier documentaire.</b></p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="187" src= "owasp-activite2_authentificationSession_fichiers/image001.jpg" align="left" hspace="12" alt="image" />Pour rappel, l’environnement de travail est le suivant :</p> <p class="Standard"> Machine attaquante (192.168.1.11) Serveur mutillidae (192.168.1.10)</p> <p class="Standard"> </p> <p class="Standard">Le serveur Mutillidae propose un site web conçu pour identifier et tester les failles de sécurité identifiées par l’OWASP. Il est possible pour chacune d’entre elles, de définir le niveau de sécurité appliqué.</p> <p class="Standard"> </p> <p class="Standard">Notre démarche consistera, pour les failles de type A2 d’OWASP :</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> à partir de la version non sécurisée de la page concernée et à mettre en évidence la faille de sécurité.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> nous constaterons ensuite que dans la version sécurisée de cette page fournie par Mutillidae, l’attaque n’est plus possible.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> l’étude des mécanismes de sécurisation utilisés, donc du code de la page associée, permettra de dégager des bonnes pratiques de programmation.</p> <p class="Standard"> </p> <p class="Standard">Quant à la machine attaquante, elle comprend un navigateur ainsi que le proxy BurpSuite qui permet d’intercepter les requêtes avant de les envoyer au serveur.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200507">III<span style= 'font:7.0pt "Times New Roman"'> </span> Premier défi : énumération des logins</a></h4> <h5 style='margin-left:108.0pt;text-indent:-18.0pt'><a name= "_Toc96200508">1.<span style= 'font:7.0pt "Times New Roman"'> </span> Objectif</a></h5> <p class="Standard">L’objectif est d’obtenir une liste de logins valides testés à l’aide d’un dictionnaire. Lorsque le développeur indique la raison d’un échec d’authentification (login incorrect), un attaquant peut profiter de ces messages d’échec afin de tester des listes de login en comparant les réponses obtenues entre un succès et un échec d’authentification.</p> <p class="Standard"> </p> <p class="Standard"><span style='color:#CE181E'>L’énumération des logins est envisageable, quel que soit le type d’interaction entre les clients et le serveur : nous aurions pu appliquer la démarche décrite plus bas pour une authentification "classique" basée sur des pages HTML/PHP ; nous avons choisi de travailler sur une authentification passant par un <b>service web</b> basé sur un <b>protocole de communication de type SOAP</b>.</span></p> <p class="Standard"><span style='color:#CE181E'> </span></p> <p class="Standard"><span style='color:#CE181E'>Les services web sont de plus en plus utilisés, ils seront vus en cours les prochaines semaines.<br /> Ils facilitent la communication entre applications hétérogènes : ils servent beaucoup pour interconnecter les systèmes d’informations ; on les retrouve aussi dans les services mis à disposition par un cloud.</span></p> <p class="Standard"><span style='color:#CE181E'> </span></p> <p class="Standard"><span style='color:#CE181E'>Mutillidae permet d’aborder un certain nombre de problèmes de sécurité posés par ces services web : l’énumération des logins est donc le premier que nous rencontrerons.</span></p> <p class="Standard"><span style='color:#CE181E'> </span></p> <div style= 'border:solid black 1.0pt;padding:1.0pt 1.0pt 1.0pt 1.0pt'> <p class="Standard" style='border:none;padding:0cm'><i><span style= 'color:#CE181E'>Pour aller plus loin sur les services web :</span></i></p> <p class="Standard" style='border:none;padding:0cm'><i><span style= 'color:#CE181E'> </span></i></p> <p class="Standard" style='border:none;padding:0cm'><i><span style= 'color:#CE181E'>OWASP propose une page dédiée aux services web et aux problèmes de sécurités associés :</span></i> <a href= "https://www.owasp.org/index.php/Web_Services"><span style= 'color:navy;text-decoration:none'>https://www.owasp.org/index.php/Web_Services</span></a><i><span style='color:#CE181E'>.</span></i></p> <p class="Standard" style='border:none;padding:0cm'><i><span style= 'color:#CE181E'> </span></i></p> <p class="Standard" style='border:none;padding:0cm'><i><span style= 'color:#CE181E'><a href= "https://btsrabelais22.fr/sio/sio2slam/Tuto_WebServiceREST_NetBeans-web/index.html"> <span style='color:#CE181E;text-decoration:none'>Les services Web (cours)</span></a></span></i></p> <p class="Standard" style='border:none;padding:0cm'><i><span style= 'color:#CE181E'> </span></i></p> </div> <p class="Standard"><span style='color:#CE181E'> </span></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200509">1<span style= 'font:7.0pt "Times New Roman"'> </span> A vous de jouer</a></h5> <p class="Standard">Les questions suivantes peuvent être traitées en suivant les étapes décrites dans <b>le dossier documentaire n°1 (page</b> <b>11</b><b>, énumération des logins).</b></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:42.55pt;text-align:left; text-indent:-24.55pt'> <b><span style='font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Énumération des logins en mode non sécurisé.</b></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard"><i>Le but de cette première série de questions est d’étudier le comportement de l’application en mode non sécurisé afin de lancer l’attaque visant à énumérer des logins valides.</i></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Commencer par installer l’extension Wsdler en réalisant les manipulations décrites dans l’étape n°1. Puis, positionner le niveau de sécurité à 0.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Tester un exemple de requête et de réponse à l’aide d’un login non valide en réalisant les manipulations décrites dans l’étape n°1 (parse de la page wsdl, envoi au répéteur, génération de la réponse et envoi au comparateur).</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Tester un exemple de requête et de réponse à l’aide d’un login valide en réalisant les manipulations décrites dans l’étape n°2 (parse de la page wsdl, envoi au répéteur, modification avec un login valide, génération de la réponse et envoi au comparateur).</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Créer un dictionnaire de login sur votre machine cliente. Pour cela, ouvrir un éditeur de texte et saisir des logins les uns en dessous des autres et enregistrer votre fichier.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q5.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Lancer l’énumération et relever les logins valides en réalisant les manipulations décrites dans l’étape n°3.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q6.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> A l’aide du comparateur, expliquer quelles sont les lignes de la réponse sur lesquelles l’attaquant a pu s’appuyer pour lancer l’attaque ?</p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <b><span style= 'font-size:12.0pt;font-family:"Arial",sans-serif;color:black'><br clear="all" style='page-break-before:always' /></span></b> <p class="MsoNormal"><b><span style= 'font-size:10.0pt;color:navy'> </span></b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 2<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Énumération des logins en mode sécurisé et analyse du code source</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><i>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre l’encodage mis en place.</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Fermer puis relancer BurpSuite. Positionner le niveau de sécurité à 5 et relancer l’attaque en suivant les étapes 2 à 4.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Les informations affichées par le comparateur sont-elles exploitables pour tenter une énumération ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Chercher dans le code source de la page <i>ws-user-account.php</i> (située dans /var/www/html/mutillidae/webservices/soap/) le codage mis en place permettant d’obtenir un encodage sécurisé. Expliquer le rôle de l’instruction <i>EncodeforHTML</i>.</p> <p class="Standard"><b> </b></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200510">2<span style= 'font:7.0pt "Times New Roman"'> </span> Bonnes pratiques</a></h5> <p class="Standard">Les bonnes pratiques de codage permettant de limiter ou d’éviter ce type d’attaque sont les suivantes :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> ne pas indiquer la cause d’un échec d’authentification mais se limiter à un affichage indiquant l’échec d’authentification sans donner plus de détails (login incorrect ou mot de passe incorrect) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> encoder les messages de sortie pour éviter qu’un attaquant puisse les exploiter.</p> <p class="Standard"><b> </b></p> <p class="Standard" style='page-break-before:always'> <b> </b></p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200511">IV<span style= 'font:7.0pt "Times New Roman"'> </span> Deuxième défi : Force brute sur un mot de passe</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200512">1<span style= 'font:7.0pt "Times New Roman"'> </span> Objectif</a></h5> <p class="Standard">Réaliser une force brute du mot de passe associé au compte administrateur précédemment découvert (login admin).</p> <p class="Standard"><b> </b></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200513">2<span style= 'font:7.0pt "Times New Roman"'> </span> A vous de jouer</a></h5> <p class="Standard">Les questions suivantes se traitent en suivant les étapes décrites dans le <b>dossier documentaire n°2 (page</b> <b>19</b><b>, force brute d’un mot de passe).</b></p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 3<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Force brute d’un mot de passe.</b></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard"><i>Dans un premier temps, l’objectif est de se placer côté attaquant en lançant une force brute pour découvrir le mot de passe d’un compte.</i></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Commencer par préparer l’attaque en réalisant les manipulations décrites dans l’étape n°1.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Lancer la force brute en suivant les indications de l’étape n°2.</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 4<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Codage sécurisé et analyse du code source</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><i>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre les contre-mesures permettant de limiter ou de contrer l’attaque.</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Fermer puis relancer BurpSuite. Positionner le niveau de sécurité à 5 et relancer l’attaque en suivant les étapes 1 et 2. La force brute a t-elle échoué ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Observez le code source de la page <i>register.php</i> (création d’un nouveau compte) et indiquer si avec un codage de niveau 5, un utilisateur peut créer un compte avec un mot de passe non sécurisé ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Côté administrateur du système attaqué, quelles sont les mesures permettant de détecter et de contrer ce type d’attaque ?</p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200514">3<span style= 'font:7.0pt "Times New Roman"'> </span> Bonnes pratiques</a></h5> <p class="Standard">Les bonnes pratiques suivantes permettant de limiter ou d’éviter ce type d’attaque :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> limitation de l’attaque : le développeur doit rajouter des fonctions permettant de tester la sécurité d’un mot de passe au moment de la création d’un compte en empêchant l’utilisation d’un mot de passe non sécurisé ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> empêcher l’attaque : côté administrateur système, les systèmes de prévention des intrusions peuvent bloquer les attaques de type force brute.</p> <p class="Standard"><b> </b></p> <p class="Standard" style='page-break-before:always'> <b> </b></p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200515">V<span style= 'font:7.0pt "Times New Roman"'> </span> Troisième défi : Vol de session</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200516">1<span style= 'font:7.0pt "Times New Roman"'> </span> Objectif</a></h5> <p class="Standard">Se retrouver authentifié avec le compte d’un autre utilisateur via un cookie d’identification prévisible sans connaître le login et le mot de passe de la victime.</p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200517">2<span style= 'font:7.0pt "Times New Roman"'> </span> A vous de jouer</a></h5> <p class="Standard">Les questions suivantes se traitent en suivant les étapes décrites dans le dossier documentaire n°3 (page 22, vol de session).</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 5<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Vol de session.</b></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard"><i>Dans un premier temps, l’objectif est de se placer côté attaquant en volant la session d’une victime.</i></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Commencer par intercepter le cookie d’un utilisateur correctement authentifié en réalisant les manipulations décrites dans l’étape n°1.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Voler la session d’une victime en modifiant l’identifiant associé au cookie intercepté. Pour cela, réaliser les manipulations décrites dans l’étape n°2.</p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 6<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Codage sécurisé et analyse du code source</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><i>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre les contre-mesures permettant de contrer l’attaque.</i></p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Fermer puis relancer BurpSuite. Positionner le niveau de sécurité à 5 et relancer l’attaque en suivant les étapes 1 et 2. La modification du cookie <i>uid</i> a t-elle une conséquence ?</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Observez le code source de la page <i>index.php</i> (page d’accueil) et relever les différences avec le codage de niveau de sécurité 0 et 1.</p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Expliquer les différences entre un cookie et une session. Conclure sur les bonnes pratiques de codage concernant le suivi des utilisateurs identifiés.</p> <p class="Standard"> </p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200518">3<span style= 'font:7.0pt "Times New Roman"'> </span> Bonnes pratiques</a></h5> <p class="Standard">Les bonnes pratiques permettant d’éviter ce type d’attaque sont les suivantes :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> utiliser des sessions avec des valeurs générées et non prévisibles ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> utiliser des ID de sessions qui sont modifiés après un succès d’authentification, désactivés après une déconnexion et qui ont une durée de vie limitée (timeout) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> encoder les ID de sessions.</p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200519">VI<span style= 'font:7.0pt "Times New Roman"'> </span> Conclusion</a></h4> <p class="Standard"> </p> <p class="Standard"><b>Aperçu général des mesures de défense</b></p> <p class="Standard"> </p> <p class="Standard">En résumé, les principales mesures de défense concernant les problématiques d’authentification de gestion des sessions sont les suivantes :</p> <p class="Standard"> </p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><b>Authentification</b></p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Ne pas révéler des messages d’erreur ou de succès trop explicites ;</p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Ne jamais inscrire, dans du code source, des mots de passe non chiffrés ou pas assez chiffrés, externaliser le stockage des mots de passe ;</p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'><span style= 'font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Renforcer la politique de gestion des mots de passe (durée de vie, longueur, caractères spéciaux, majuscules).</p> </td> </tr> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; border-top:none;padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><b>Gestion des sessions</b></p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'>1.<span style= 'font:7.0pt "Times New Roman"'> </span> Générer des jetons de sessions non prévisibles ;</p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'>2.<span style= 'font:7.0pt "Times New Roman"'> </span> Programmer des règles d’expiration et de rotation des ID de sessions (après un succès d’authentification ou une déconnexion) ;</p> <p class="TableContents" style= 'margin-left:36.0pt;text-indent:-18.0pt'>3.<span style= 'font:7.0pt "Times New Roman"'> </span> Utiliser des fonctions permettant d’encoder les identifiants de session.</p> </td> </tr> </table> <p class="Standard"><span style='color:#006600'> </span></p> <p class="MsoTitle" style='page-break-before:always'> <u><span style='font-size: 14.0pt'>Dossier documentaire</span></u></p> <h1><a name="_Toc96200520"></a><a name="dossier_1" id= "dossier_1"></a><span style= 'font-size: 13.0pt;color:maroon'>Dossier 1 : Énumération des logins</span></h1> <p class="Standard">La démarche permettant de réaliser l’attaque est la suivante :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-36.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> Dans un premier temps, l’attaquant va observer le code renvoyé par le serveur suite à un échec d’authentification.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-36.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> L’étape précédente est répétée avec un login existant : pour cela, il peut utiliser son propre compte standard ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-36.0pt'> 3.<span style= 'font:7.0pt "Times New Roman"'> </span> L’attaquant peut alors comparer les différences sur les codes de retour obtenus afin de relever un extrait pertinent qu’il pourra exploiter comme filtre pour réaliser son attaque ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-36.0pt'> 4.<span style= 'font:7.0pt "Times New Roman"'> </span> Enfin, il ne reste plus qu’à utiliser un dictionnaire comportant des logins à tester en utilisant le filtre précédemment repéré. L’ensemble des logins valides obtenus correspond au résultat de notre énumération.</p> <p class="Standard"> </p> <p class="Standard"><b>Étape n°0 (préalable) : Installation de l’extension Wsdler</b></p> <p class="Standard"> </p> <p class="Standard">Dans un premier temps, il faut enrichir BurpSuite d’une extension nommée Wsdler.</p> <p class="Standard"> </p> <p class="Standard">Cette extension intercepte les requêtes WSDL et les opérations associées au service web cible. Il est alors possible de générer des requêtes SOAP qui pourront être envoyées au service web.</p> <p class="Standard"> </p> <p class="Standard">L’extension est décrite plus en détail par son développeur sur son site : https://blog.netspi.com/hacking-web-services-with-burp/</p> <p class="Standard"><i> </i></p> <p class="Standard">Pour commencer, lancer BurpSuite, aller dans l’onglet <b>Extender</b> puis dans <b>Bapp Store</b>. Sélectionner l’extension <b>Wsdler</b> et l’installer. Le bouton <b>Installer</b> est situé en bas de la fenêtre de droite.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="38" height="2154"></td> </tr> <tr> <td></td> <td><img width="131" height="23" src= "owasp-activite2_authentificationSession_fichiers/image002.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="558" height="372" src= "owasp-activite2_authentificationSession_fichiers/image003.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="100" height="1824"></td> </tr> <tr> <td></td> <td><img width="20" height="26" src= "owasp-activite2_authentificationSession_fichiers/image004.gif" alt="image" /></td> </tr> </table> <p class="Standard">Une fois l’installation terminée, vérifier que l’extension s’affiche dans l’onglet <b>Extensions</b>.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="177" height="1971"></td> </tr> <tr> <td></td> <td><img width="74" height="28" src= "owasp-activite2_authentificationSession_fichiers/image005.gif" alt="image" /></td> </tr> </table> <img width="605" height="138" src= "owasp-activite2_authentificationSession_fichiers/image006.jpg" align="left" hspace="12" alt="image" /> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <br clear="all" /> <p class="Standard"><b>Étape n°1 : Test d’une requête et d’une réponse sur un login inexistant</b></p> <p class="Standard"><b> </b></p> <p class="Standard"> </p> <p class="Standard">Positionner le proxy à <b>intercept off</b> puis ouvrir la page suivante :</p> <p class="Standard"><b> </b></p> <p class="Standard"><i>OWASP 2017 => A2 : Broken Authentication and Session Management => Username Enumeration => Lookup User (SOAP Web Service).</i></p> <p class="Standard"><i> </i></p> <p class="Standard">Positionner le proxy à <b>intercept on</b>, puis cliquer, dans le navigateur, sur le lien <b>View the WSDL</b>.</p> <p class="Standard"><img width="491" height="63" src= "owasp-activite2_authentificationSession_fichiers/image007.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="527" height="1937"></td> </tr> <tr> <td></td> <td><img width="58" height="22" src= "owasp-activite2_authentificationSession_fichiers/image008.gif" alt="image" /></td> </tr> </table> <p class="Standard"> </p> <p class="Standard"> </p> <br clear="all" /> <p class="Standard">Faire un clic droit à l’intérieur de cette fenêtre de capture (Raw) en positionnant la souris dans la partie en fond blanc et cliquer sur <b>Parse WSDL</b>. (dans Extensions/wsdler/parse WSDL)</p> <p class="Standard"> </p> <p class="Standard">Vérifier que l’onglet <b>Wsdler</b> de BurpSuite s’enrichit des opérations suivantes :</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="4" height="2006"></td> <td width="134"></td> <td width="538"></td> <td width="82"></td> </tr> <tr> <td height="32"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="66" height="26" src= "owasp-activite2_authentificationSession_fichiers/image009.gif" alt="image" /></td> </tr> <tr> <td height="45"></td> </tr> <tr> <td height="22"></td> <td align="left" valign="top"><img width="107" height="18" src= "owasp-activite2_authentificationSession_fichiers/image010.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="148" src= "owasp-activite2_authentificationSession_fichiers/image011.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Pour notre objectif d’énumération, c’est l’opération <b>getUser</b> qui nous intéresse. Cliquer sur <b>getUser</b> et observer le code de la requête et plus particulièrement le contenu de la balise <b>username</b>. Cette balise contient une valeur par défaut correspondant à un login qui n’existe pas dans la liste des logins valides des comptes déjà existants (gero et). Cette requête est donc idéale pour tester le comportement de notre application sur un <b>login inexistant</b>.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="5" height="2091"></td> <td width="82"></td> <td width="180"></td> <td width="60"></td> </tr> <tr> <td height="66"></td> <td align="left" valign="top"><img width="66" height="53" src= "owasp-activite2_authentificationSession_fichiers/image012.gif" alt="image" /></td> </tr> <tr> <td height="177"></td> </tr> <tr> <td height="30"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="48" height="24" src= "owasp-activite2_authentificationSession_fichiers/image013.gif" alt="image" /></td> </tr> </table> <img width="605" height="260" src= "owasp-activite2_authentificationSession_fichiers/image014.jpg" align="left" hspace="12" alt="image" /> <p class="Standard">Faire un clic droit dans la fenêtre correspondant à la requête associée à un login inexistant (Raw) et cliquer sur <b>Send to Repeater</b>.</p> <p class="Standard"> </p> <p class="Standard"><b>L’onglet Repeater de BurpSuite</b> ajoute un premier sous onglet correspondant à notre requête.</p> <p class="Standard"> </p> <p class="Standard">Dans cet onglet, la partie <b>Request</b> correspond à la requête traitée et l’onglet <b>Raw</b> indique le flux capturé suite à cette requête.</p> <p class="Standard"> </p> <p class="Standard">Cliquer sur le bouton <b>Send (et non go)</b> pour observer la réponse correspondante.</p> <p class="Standard"> </p> <p class="Standard">Observez le code de la réponse et plus particulièrement la phrase indiquant que l’utilisateur (login) n’existe pas (User <i>gero et</i> does not exist).</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="4" height="2207"></td> <td width="75"></td> <td width="308"></td> <td width="111"></td> </tr> <tr> <td height="32"></td> <td align="left" valign="top"><img width="60" height="26" src= "owasp-activite2_authentificationSession_fichiers/image015.gif" alt="image" /></td> </tr> <tr> <td height="243"></td> </tr> <tr> <td height="22"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="89" height="18" src= "owasp-activite2_authentificationSession_fichiers/image016.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="295" src= "owasp-activite2_authentificationSession_fichiers/image017.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="4" height="2191"></td> </tr> <tr> <td></td> <td><img width="20" height="26" src= "owasp-activite2_authentificationSession_fichiers/image018.gif" alt="image" /></td> </tr> </table> <p class="Standard"> </p> <br clear="all" /> <p class="Standard">Faire un clic droit dans la fenêtre de la réponse (fenêtre de droite et cliquer sur <b>Send to Comparer</b>. L’onglet <b>Comparer</b> de BurpSuite s’enrichit de notre première réponse correspondant à un login inexistant.</p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="116" src= "owasp-activite2_authentificationSession_fichiers/image019.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><b>Étape n°2 : Test d’une requête et d’une réponse sur un login existant</b></p> <p class="Standard"><b> </b></p> <p class="Standard">Préalable : créer un nouvel utilisateur sous Mutillidae nommé <b>utilisateur1</b> en lui affectant un mot de passe. Pour cela, cliquer sur le lien <b>Please register here</b> dans la page d’authentification. Pour les besoins du TP, créer aussi un autre utilisateur nommé <b>utiisateur2</b>.</p> <p class="Standard"><img width="356" height="33" src= "owasp-activite2_authentificationSession_fichiers/image020.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Reproduire ensuite l’ensemble des manipulations de l’étape n°2 avec un login existant. Pour cela, positionner le proxy à <b>intercept off</b> puis ouvrir la page suivante :</p> <p class="Standard"><b> </b></p> <p class="Standard"><i>OWASP 2017 => A2 : Broken Authentication and Session Management => Username Enumeration => Lookup User (SOAP Web Service).</i></p> <p class="Standard"><i> </i></p> <p class="Standard">Positionner ensuite le proxy à <b>intercept on</b>, puis cliquer sur le lien <b>View the WSDL</b>.</p> <p class="Standard"> </p> <p class="Standard">Comme précédemment, faire un clic droit dans la fenêtre de capture du proxy et cliquer sur <b>Parse WSDL</b>. Puis, dans l’onglet <b>Wsdler</b> de BurpSuite, cliquer sur <b>getUser</b> et envoyer la requête au <b>répéteur</b> (Send to Repeater) par un clic droit.</p> <p class="Standard"> </p> <p class="Standard">Le répéteur de BurpSuite offre maintenant un deuxième onglet correspondant à notre nouvelle requête. C’est à ce moment là qu’il faut remplacer la valeur <b>gero et</b> par un login valide (<i>utilisateur1</i> dans la capture d’écran ci-dessous).</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="318" src= "owasp-activite2_authentificationSession_fichiers/image021.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="140" height="2696"></td> <td width="25"></td> <td width="469"></td> <td width="25"></td> </tr> <tr> <td height="3"></td> <td rowspan="2" align="left" valign="top"><img width="20" height= "26" src= "owasp-activite2_authentificationSession_fichiers/image022.gif" alt="image" /></td> </tr> <tr> <td height="29"></td> <td></td> <td rowspan="2" align="left" valign="top"><img width="20" height= "26" src= "owasp-activite2_authentificationSession_fichiers/image023.gif" alt="image" /></td> </tr> <tr> <td height="3"></td> </tr> </table> <p class="Standard">Il faut alors cliquer sur le bouton <b>Send</b> pour obtenir la réponse correspondant à un login valide. On observe la chaîne de caractère <b>Results for</b>. On peut alors envoyer la réponse au comparateur (Send to the Comparer) par un clic droit.</p> <p class="Standard"> </p> <p class="Standard">L’onglet Comparer de BurpSuite permet alors de comparer les réponses obtenues entre un login valide et un login inexistant. En cliquant sur le bouton <b>Words</b>, on peut observer les différences.</p> <p class="Standard"> </p> <p class="Standard">La fenêtre de gauche correspond à la réponse obtenue en cas de login inexistant. Celle de droite en cas de login existant.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="12" height="2742"></td> <td width="65"></td> <td width="309"></td> <td width="364"></td> </tr> <tr> <td height="20"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="291" height="16" src= "owasp-activite2_authentificationSession_fichiers/image024.gif" alt="image" /></td> </tr> <tr> <td height="22"></td> <td align="left" valign="top"><img width="52" height="18" src= "owasp-activite2_authentificationSession_fichiers/image025.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="265" src= "owasp-activite2_authentificationSession_fichiers/image026.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">C’est cette différence dans les messages qui s’affichent que nous allons exploiter.</p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <p class="Standard"><b>Étape n°3 : Énumération des logins</b></p> <p class="Standard"> </p> <p class="Standard">Revenir dans l’onglet Repeater de BurpSuite et dans la fenêtre de réponse (fenêtre de droite) correspondant au test sur un <b>login correct</b>, faire un clic droit et cliquer sur <b>Send to the Intruder</b>. Aller ensuite dans l’onglet <b>Intruder</b> de BurpSuite, et cliquer sur l’onglet <b>Positions</b> puis sur le bouton <b>Clear</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="57" height="2690"></td> <td width="80"></td> <td width="512"></td> <td width="105"></td> </tr> <tr> <td height="32"></td> <td align="left" valign="top"><img width="64" height="26" src= "owasp-activite2_authentificationSession_fichiers/image027.gif" alt="image" /></td> </tr> <tr> <td height="133"></td> </tr> <tr> <td height="28"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="84" height="22" src= "owasp-activite2_authentificationSession_fichiers/image028.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="289" src= "owasp-activite2_authentificationSession_fichiers/image029.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Toujours dans cette fenêtre, il faut sélectionner avec un double clic de souris la valeur correspondant au login (<i>utilisateur1</i> dans cette capture d’écran) et cliquer sur le bouton <b>Add</b>. Nous travaillerons donc avec une seule variable, d’où le mode <b>Sniper</b>. D’autres modes existent et permettent de travailler avec plusieurs variables.</p> <p class="Standard"> </p> <p class="Standard"><span style= 'position:absolute;z-index:34;left:0px; margin-left:292px;margin-top:2902px;width:100px;height:24px'> <img width="80" height="19" src= "owasp-activite2_authentificationSession_fichiers/image030.gif" alt="image" /></span>Une fois la valeur sélectionnée, Bupsuite testera en boucle différents logins en remplaçant la variable par les valeurs indiquées dans le dictionnaire.</p> <p class="Standard"><img width="605" height="136" src= "owasp-activite2_authentificationSession_fichiers/image031.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="649" height="2756"></td> </tr> <tr> <td></td> <td><img width="20" height="35" src= "owasp-activite2_authentificationSession_fichiers/image032.gif" alt="image" /></td> </tr> </table> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <br clear="all" /> <p class="Standard">Puis, cliquer sur l’onglet <b>Payload</b> et charger un dictionnaire de login. Ce dictionnaire peut être créé à l’aide d’un éditeur de texte comportant une liste de login.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><img width="414" height="134" src= "owasp-activite2_authentificationSession_fichiers/image033.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="370" height="2828"></td> </tr> <tr> <td></td> <td><img width="33" height="31" src= "owasp-activite2_authentificationSession_fichiers/image034.gif" alt="image" /></td> </tr> </table> <p class="Standard"> </p> <p class="Standard"> </p> <br clear="all" /> <p class="Standard"><img width="292" height="126" src= "owasp-activite2_authentificationSession_fichiers/image035.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">La sélection du dictionnaire se fait en cliquant sur le bouton <b>Load</b> de la rubrique <b>Payload options</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="56" height="2891"></td> <td width="76"></td> <td width="5"></td> <td width="66"></td> <td width="205"></td> <td width="81"></td> </tr> <tr> <td height="32"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="53" height="26" src= "owasp-activite2_authentificationSession_fichiers/image036.gif" alt="image" /></td> </tr> <tr> <td height="134"></td> </tr> <tr> <td height="26"></td> <td colspan="4"></td> <td align="left" valign="top"><img width="65" height="21" src= "owasp-activite2_authentificationSession_fichiers/image037.gif" alt="image" /></td> </tr> <tr> <td height="74"></td> </tr> <tr> <td height="34"></td> <td align="left" valign="top"><img width="61" height="27" src= "owasp-activite2_authentificationSession_fichiers/image038.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="571" height="262" src= "owasp-activite2_authentificationSession_fichiers/image039.jpg" align="left" hspace="12" alt="image" />Enfin, dans le dernier onglet <b>Options</b>, il faut ajouter un filtre dans la rubrique <b>Grep Extract</b>. Cliquer ensuite sur le bouton <b>Add</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="71" height="2973"></td> <td width="91"></td> <td width="77"></td> <td width="84"></td> </tr> <tr> <td height="34"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="67" height="27" src= "owasp-activite2_authentificationSession_fichiers/image040.gif" alt="image" /></td> </tr> <tr> <td height="104"></td> </tr> <tr> <td height="32"></td> <td align="left" valign="top"><img width="73" height="26" src= "owasp-activite2_authentificationSession_fichiers/image041.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="582" height="138" src= "owasp-activite2_authentificationSession_fichiers/image042.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard">Dans la fenêtre suivante, il faut indiquer la chaîne de caractère correspondant à un login correct: <span style= 'font-family:"DejaVu Sans",sans-serif'>"</span><b>Results for</b><span style='font-family:"DejaVu Sans",sans-serif'>", puis valider en cliquant sur <b>OK</b>.</span></p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="218" height="3106"></td> </tr> <tr> <td></td> <td><img width="134" height="26" src= "owasp-activite2_authentificationSession_fichiers/image043.gif" alt="image" /></td> </tr> </table> <img width="567" height="130" src= "owasp-activite2_authentificationSession_fichiers/image044.jpg" align="left" hspace="12" alt="image" /> <p class="Standard">Il ne reste plus qu’à lancer l’attaque en cliquant sur <b>Start Attack</b> dans le menu <b>Intruder</b> de BurpSuite. A ce moment là, ne pas tenir compte du message d’avertissement sur les limitations de la version community.</p> <p class="Standard"><span style= 'position:absolute;z-index:37;left:0px; margin-left:571px;margin-top:3196px;width:178px;height:42px'> <img width="142" height="34" src= "owasp-activite2_authentificationSession_fichiers/image045.gif" alt="image" /></span><span style= 'position:absolute;z-index:38;left:0px;margin-left:570px;margin-top:3261px; width:172px;height:29px'><img width="138" height="23" src= "owasp-activite2_authentificationSession_fichiers/image046.gif" alt="image" /></span>La fenêtre de résultat de l’attaque correspond à notre énumération de logins.</p> <p class="Standard"><img width="571" height="215" src= "owasp-activite2_authentificationSession_fichiers/image047.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:#000099'>Tous les logins testés pour lesquels la colonne <b>Results for</b> est alimentée sont des logins valides sur lesquels une force brute du mot de passe peut être tentée.</span></p> <p class="Standard"><span style='color:#000099'> </span></p> <p class="Standard" style='page-break-before:always'><span style= 'color:#000099'> </span></p> <h1 align="left" style='text-align:left'><a name= "_Toc96200521"></a><a name="dossier_2" id= "dossier_2"></a><span style='font-size:13.0pt;color:maroon'>Dossier 2 : Force brute d’un mot de passe</span></h1> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b>Étape n°1 : Préparation de l’attaque</b></p> <p class="Standard">Une attaque en force brute consiste à tester en boucle des mots de passe présents dans un dictionnaire. L’outil Burpsuite teste alors chacun des mots de passe en observant le code de retour ce qui permet d’identifier un succès d’authentification.</p> <p class="Standard"> </p> <p class="Standard">Démarrer BurpSuite et positionner mutillidae sur le niveau de sécurité 0. Placer aussi le proxy en mode de non capture en cliquant sur<b>intercept off</b>. Ouvrir ensuite la page permettant de s’authentifier :</p> <p class="Standard"> </p> <p class="Standard"><i>OWASP 2017 => A2 (Broken Authentication and Session Management) => Authentication Bypass =>Via Brute Force => Login</i></p> <p class="Standard"><i> </i></p> <p class="Standard">Dans l’exemple qui suit, nous travaillons sur un compte dont le login est <i>admin</i>. Dans la version 2.6.62 de Mutillidae, un compte <i>admin</i> existe déjà avec le mot de passe <i>adminpass</i>. Les manipulations suivantes pourraient être faite avec n’importe quel compte existant dont on souhaite brute forcer le mot de passe.</p> <p class="Standard"> </p> <p class="Standard">Positionner le proxy BurpSuite à on (intercept on). Dans le champ <b>login</b>, saisir <b>admin</b> et dans le champ du mot passe, saisir n’importe quel mot de passe erroné, puis valider en cliquant sur le bouton <b>Login</b>. On peut saisir n’importe quel mot de passe erroné vu que l’objectif de cette étape est juste de positionner une variable. </p> <p class="Standard"> </p> <p class="Standard"><img width="248" height="114" src= "owasp-activite2_authentificationSession_fichiers/image048.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><b> </b></p> <p class="Standard"><span style= 'position:absolute;z-index:74;left:0px; margin-left:261px;margin-top:3279px;width:189px;height:92px'> <img width="151" height="74" src= "owasp-activite2_authentificationSession_fichiers/image049.gif" alt="image" /></span>Cliquer ensuite sur le bouton <b>Forward (<i>si request différent de http://192.168.1.10:80</i>)</b>. Dans la capture d’écran ci-dessous, c’est le mot de passe <i>admin</i> qui a été saisi. Peu importe puisque nous allons transformer ce mot de passe en variable de test pour notre force brute.</p> <p class="Standard"><img width="563" height="317" src= "owasp-activite2_authentificationSession_fichiers/image050.jpg" align="left" hspace="12" alt="image" /></p> <b><span style= 'font-size:12.0pt;font-family:"Arial",sans-serif;color:black'><br clear="all" style='page-break-before:always' /></span></b> <p class="MsoNormal"><b><span style= 'font-size:10.0pt;color:navy'> </span></b></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b>Étape n°2 : Lancement de l’attaque</b></p> <p class="Standard">Faire ensuite un clic droit à l’intérieur de cette fenêtre et cliquer sur <b>Send to Intruder</b>.</p> <p class="Standard"> </p> <p class="Standard">L’onglet Intruder de BurpSuite s’enrichit d’un sous onglet supplémentaire.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="42" height="3432"></td> </tr> <tr> <td></td> <td><img width="37" height="30" src= "owasp-activite2_authentificationSession_fichiers/image051.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="50" src= "owasp-activite2_authentificationSession_fichiers/image052.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="465" height="3387"></td> </tr> <tr> <td></td> <td><img width="20" height="35" src= "owasp-activite2_authentificationSession_fichiers/image053.gif" alt="image" /></td> </tr> </table> <p class="Standard"><span style= 'position:absolute;z-index:46;left:0px; margin-left:650px;margin-top:3617px;width:102px;height:30px'> <img width="82" height="24" src= "owasp-activite2_authentificationSession_fichiers/image054.gif" alt="image" /></span><span style= 'position:absolute;z-index:42;left:0px;margin-left:57px;margin-top:3450px; width:71px;height:29px'><img width="57" height="23" src= "owasp-activite2_authentificationSession_fichiers/image055.gif" alt="image" /></span>Cliquer sur l’onglet <b>Positions</b> puis sur le bouton <b>Clear</b>.</p> <p class="Standard"><img width="605" height="274" src= "owasp-activite2_authentificationSession_fichiers/image056.gif" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="649" height="3602"></td> </tr> <tr> <td></td> <td><img width="20" height="26" src= "owasp-activite2_authentificationSession_fichiers/image057.gif" alt="image" /></td> </tr> </table> <p class="Standard">Puis, sélectionner par un double clic le mot de passe saisi (admin) et cliquer sur le bouton <b>Add</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="177" height="3538"></td> <td width="60"></td> <td width="413"></td> <td width="110"></td> </tr> <tr> <td height="36"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="88" height="29" src= "owasp-activite2_authentificationSession_fichiers/image058.gif" alt="image" /></td> </tr> <tr> <td height="113"></td> </tr> <tr> <td height="28"></td> <td align="left" valign="top"><img width="48" height="22" src= "owasp-activite2_authentificationSession_fichiers/image059.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="166" src= "owasp-activite2_authentificationSession_fichiers/image060.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Cliquer ensuite sur l’onglet <b>Payload</b> et charger un dictionnaire en cliquant sur le bouton <b>Load</b> dans la section <b>Payload Options</b>. Il faut auparavant avoir créé ce dictionnaire.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="91" height="3560"></td> <td width="5"></td> <td width="61"></td> <td width="2"></td> </tr> <tr> <td height="26"></td> <td colspan="3" align="left" valign="top"><img width="54" height= "21" src= "owasp-activite2_authentificationSession_fichiers/image061.gif" alt="image" /></td> </tr> <tr> <td height="193"></td> </tr> <tr> <td height="25"></td> <td></td> <td align="left" valign="top"><img width="49" height="20" src= "owasp-activite2_authentificationSession_fichiers/image062.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="216" src= "owasp-activite2_authentificationSession_fichiers/image063.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Le lancement de l’attaque se fait en cliquant sur le bouton <b>Start Attack</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="76" height="3779"></td> </tr> <tr> <td></td> <td><img width="103" height="19" src= "owasp-activite2_authentificationSession_fichiers/image064.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="174" src= "owasp-activite2_authentificationSession_fichiers/image065.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:#000099'>Les lignes associées à un <b>code de status de 302</b> correspondent à un succès d’authentification. Le mot de passe du compte admin est donc <i>adminpass.</i></span></p> <p class="Standard"><i><span style= 'color:#000099'> </span></i></p> <h1 align="left" style='text-align:left;page-break-before:always'> <a name="_Toc96200522"></a><a name="dossier_3" id= "dossier_3"></a><span style= 'font-size:13.0pt; color:maroon'>Dossier 3 : Vol de session (Facultatif)</span></h1> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b>Étape n°1 : Interception du cookie</b></p> <p class="Standard">Tout d’abord, commencer par se déconnecter de Mutillidae et positionner le proxy en non interception en cliquant sur intercept off. Redémarrer aussi le navigateur.</p> <p class="Standard">Démarrer BurpSuite et positionner Mutillidae avec le niveau de sécurité à 0. Puis ouvrir la page suivante :</p> <p class="Standard"> </p> <p class="Standard"><i>OWASP 2017 => A2 : Broken Authentication and Session Management => Privilege Escalation => Login</i></p> <p class="Standard"> </p> <p class="Standard">Saisir un login et un mot de passe correspondant à un compte existant (<i>utilisateur1</i> dans cet exemple). Puis valider en cliquant sur le bouton <b>Login</b>.</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="549" height="3790"></td> </tr> <tr> <td></td> <td><img width="141" height="18" src= "owasp-activite2_authentificationSession_fichiers/image066.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="58" src= "owasp-activite2_authentificationSession_fichiers/image067.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Ensuite, positionner le proxy à <b>intercept on</b>. Cliquer ensuite sur le lien <b>Home</b> en haut de la page afin de naviguer en étant connecté.</p> <p class="Standard"> </p> <p class="Standard"><img width="254" height="67" src= "owasp-activite2_authentificationSession_fichiers/image068.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="251" height="3794"></td> </tr> <tr> <td></td> <td><img width="43" height="27" src= "owasp-activite2_authentificationSession_fichiers/image069.gif" alt="image" /></td> </tr> </table> <p class="Standard"> </p> <p class="Standard"> </p> <br clear="all" /> <p class="Standard"><span style= 'position:absolute;z-index:75;left:0px; margin-left:166px;margin-top:3809px;width:283px;height:82px'> <img width="226" height="66" src= "owasp-activite2_authentificationSession_fichiers/image070.gif" alt="image" /></span>Cliquer éventuellement sur le bouton <b>Forward (si différent de )</b> du proxy et observer les cookies capturés dans <i>la partie de droite de la fenêtre (inspector).</i></p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="46" height="3899"></td> </tr> <tr> <td></td> <td><img width="51" height="25" src= "owasp-activite2_authentificationSession_fichiers/image071.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="205" src= "owasp-activite2_authentificationSession_fichiers/image072.jpg" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="171" height="4007"></td> </tr> <tr> <td></td> <td><img width="20" height="19" src= "owasp-activite2_authentificationSession_fichiers/image073.gif" alt="image" /></td> </tr> </table> <p class="Standard">Un des cookies capturé s’intitule <b>uid</b> et ressemble à une sorte de clé primaire.</p> <p class="Standard"> </p> <p class="Standard">On peut s’interroger sur le comportement de l’application si on rejoue la requête avec un numéro différent car après le numéro 24 on peut prévoir que l’utilisateur suivant est associé au numéro 25. De même on peut se demander à quel utilisateur est associé le numéro 1.</p> <p class="Standard"> </p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b>Étape n°2 : Vol de la session</b></p> <p class="Standard">Modifier la valeur du cookie <b>uid</b> en mettant la valeur 1. Pour cela, double cliquer sur la valeur du cookie et saisir la nouvelle valeur.</p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="114" src= "owasp-activite2_authentificationSession_fichiers/image074.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard">Puis cliquer sur le bouton <b>Forward</b> du proxy. On se retrouve connecté en tant qu’administrateur. Le cookie d’identification était donc prévisible.</p> <p class="Standard"> </p> <p class="Standard"><img width="291" height="29" src= "owasp-activite2_authentificationSession_fichiers/image075.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><span style='color:#000099'> </span></p> </div> <div><br clear="all" /> <hr align="left" size="1" width="33%" /> <div id="ftn1"> <p class="Footnote"><a href="start.htm#_ftnref1" name="_ftn1" title=""><span class="MsoFootnoteReference"><span class= "MsoFootnoteReference"><span style= 'font-size:10.0pt;font-family:"Arial",sans-serif;color:navy'>[1]</span></span></span></a>Rainbow table : attaque permettant de cracker l’empreinte (hash) d’un mot de passe.</p> </div> </div>
Table des matières
Sujets
Recherche
Activité 2: Vulnérabilités liées à l’authentification et à la gestion des sessions
I Présentation générale
1 Le risque A2 du top 10 d’OWASP
2 Conséquences
3 Bonnes pratiques
II Objectifs et architecture générale de l’activité
III Premier défi : énumération des logins
1. Objectif
1 A vous de jouer
2 Bonnes pratiques
IV Deuxième défi : Force brute sur un mot de passe
1 Objectif
2 A vous de jouer
3 Bonnes pratiques
V Troisième défi : Vol de session
1 Objectif
2 A vous de jouer
3 Bonnes pratiques
VI Conclusion
Dossier 1 : Énumération des logins
Dossier 2 : Force brute d’un mot de passe
Dossier 3 : Vol de session (Facultatif)
1. Objectif
1 A vous de jouer
1 Le risque A2 du top 10 d’OWASP
1 Objectif
1 Objectif
2 A vous de jouer
2 A vous de jouer
2 Bonnes pratiques
2 Conséquences
3 Bonnes pratiques
3 Bonnes pratiques
3 Bonnes pratiques
Activité 2: Vulnérabilités liées à l’authentification et à la gestion des sessions
Dossier 2 : Force brute d’un mot de passe
Dossier 1 : Énumération des logins
Dossier 3 : Vol de session (Facultatif)
III Premier défi : énumération des logins
II Objectifs et architecture générale de l’activité
IV Deuxième défi : Force brute sur un mot de passe
I Présentation générale
VI Conclusion
V Troisième défi : Vol de session
Générée avec
chmProcessor
Générée avec
chmProcessor