3psilon website

Sommaire

 - Présentation
 - Les problèmes de configuration
 - Les bugs
 - Les buffer overflow
 - Les scripts
 - Man in the middle

Les attaques applicatives s’appuient principalement sur des vulnérabilités spécifiques aux applications utilisées. Cependant, certaines attaques peuvent être classées par type.

Un des premiers problèmes de sécurité engendré par les applications est celui des erreurs de configurations. Nous distinguerons deux types d’erreurs : les installations par défaut et les mauvaises configurations à proprement parler.

Des logiciels, comme les serveurs Web, installés par défaut ont souvent des sites exemples qui peuvent être utilisés par des pirates pour accéder à des informations confidentielles.

Par exemple, il peut y avoir des scripts permettant d’obtenir les sources des pages dynamiques ou des informations sur le système utilisé.

En outre, lors d’une telle installation une interface d’administration à distance est disponible avec un login/mot de passe par défaut (trouvable dans le guide d’administration de l’application). Le pirate a donc la main sur le site et peut le modifier selon son bon vouloir.

Les principales failles générées par une mauvaise configuration sont des listes d’accès mal paramètrées. Le pirate accède alors à des pages et autres bases de données privées.

Comme exemple classique de problème de configuration, les erreurs de paramétrage du serveur Web Lotus Domino sont courantes. En effet, lors de l’installation de ce serveur, des bases Lotus de configuration sont accessibles sans aucune liste de contrôle d’accès.

Concrètement, si la base Lotus names.nsf est accessible via un navigateur Web sans demande d’authentification, il est alors possible d’obtenir de nombreuses informations comme le nom de tous les utilisateurs Lotus. Cette base n’est qu’un exemple, et Lotus Domino en contient un nombre important de sensibles.

Une mauvaise programmation des logiciels entraîne obligatoirement des bugs. Ceux-ci seront la source des failles de sécurité les plus importantes.

Ces vulnérabilités quand elles sont découvertes vont permettre d’exécuter des commandes non autorisées, obtenir le source de pages dynamiques, rendre indisponible un service, prendre la main sur la machine...etc. Les plus connus de ces bugs et les plus intéressants en ce qui concerne leur exploitation sont les buffer overflow.

Le dépassement de pile est une faille due à une mauvaise programmation. Effectivement, un buffer overflow apparaît quand une variable passée en argument d’une fonction est recopiée dans un buffer sans que sa taille n’aie été vérifiée.

Il suffit que la variable ait une taille supérieure à l’espace mémoire réservé pour ce buffer pour qu’un dépassement de pile se produise. Celui-ci sera exploité en passant dans la variable un fragment de programme capable de faire démarrer un shell tout en obligeant ce débordement de pile à se produire.

Dans le cas où un pirate réussi cette attaque il obtiendra alors le moyen d’exécuter à distance des commandes sur la machine cible avec les droits de l’application attaquée. Le buffer overflow et son exploitation ont été le sujet d’une série d’articles de Linux Magazine.

Une mauvaise programmation des scripts a souvent une répercution sur la sécurité d’un système. En effet, il existe des moyens d’exploiter des failles de scripts développés en Perl qui permettront de lire des fichiers hors racine Web ou d’exécuter des commandes non autorisées.

Ces problèmes de programmation ont été évoqués dans le dernier article de Linux Mag sur les failles des développements en Perl et PHP.

L’objectif principal de cette attaque est de détourner le trafic entre deux machines. Cela pour intercepter, modifier ou détruire les données transmises au cours de la communication. Cette attaque est plus un concept qu’une attaque à part entière.

Il existe plusieurs attaques mettant en oeuvre ce principe du Man in The Middle, comme le DNS Man in the Middle qui qu’une utilisation du DNS Spoofing pour détourner le trafic entre un client et un serveur Web. De même, une application récente a été élaborée pour détourner du trafic SSH.