Comprendre et anticiper

les menaces applicatives.

LES GRANDS CLASSIQUES

LES GRANDS CLASSIQUES

Attaques applicatives + SQL Injection

+ Cross Site Scripting

+ Command Injection

+ Path Traversal

+ Local (remote) File Inclusion

+ Redirections vers des sites tiers

Faiblesses d’architecture + Mauvaise gestion des droits

+ Mauvaise gestion des accès aux ressources

+ Upload de fichiers dangereux

+ Cookies non sécurisés

+ Pages sessionless

Déni de service + Atteinte des limites du serveur

+ Atteinte des limites de l’application

+ Vulnérabilité serveur (Apache, IIS, etc)

Phishing/Scamming + Emails piégés

+ Abus de confiance

+ Ingénierie sociale

POURQUOI SONT ILS SI

MÉCHANTS ? Objectifs + Vol de données sensibles (plusieurs € par référence)

+ Interruption de service

+ Atteinte à l’image de marque ou d’une société

+ Prise de contrôle de machines cibles

+ Revenus financiers

Quelques exemples + US Army credentials informations leaks

+ NATO documents steal

+ SCADA

+ DDOS Operation (HSBC, Facebook, Twitter, Forex market)

+ Phishing (facebook, twitter)

CONTRE-MESURES Attaques applicatives + Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic)

+ Développement sécurisé

+ Audits (code et sécurité)

Déni de service + Mise en place de pare-feu réseau

+ Mise en place d’une sonde réseau

+ (Virtual) Patching afin de contrer les vulnérabilités 0-Day

Phishing + Mise en place de solutions d’authentification des emails

+ Formation du personnel

+ Sensibilisation des utilisateurs (http://www.phishing.fr)

NOUVELLES TENDANCES

ATTAQUES APPLICATIVES

Obfuscation d’attaques applicatives (Firewall

Bypassing)

+ Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL

encoding)

+ SQL Injection avancées (blind injections, conversions implicites)

+ XSS avancés (Javascript obfuscation)

Nouvelles attaques + HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs)

+ XSRF (la vulnérabilité la plus répandue actuellement)

+ Des évolutions des anciennes recettes…

ATTAQUES ZERO DAY

Cibles sur le serveur + Apache, IIS, Tomcat, Glassfish

+ OpenSSL, XML parsers

+ Vulnérabilités Système

Méthodologie + Requêtes et communications malformées

+ Exploitation de fuite mémoire

Outils + Metasploit

+ Slowloris

+ THC-SSL-DOS, etc.

ATTAQUES DU PROTOCOLE SSL

Ciphers cracking + B.E.A.S.T.

+ CBC mode vulnerability

SSL Bypass + C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL)

+ C.R.I.M.E. v2 (HTTP Compression, Time Attack)

BONNES PRATIQUES

SE MAINTENIR A JOUR

Les attaques applicatives évoluent et se transforment + Maintenir ses règles de sécurité à jour

+ Installer les mises à jour des produits de défense dès qu’elles sont disponibles

+ Mettre en place des règles de virtual patching via ICX ou les workflows

Les nouvelles vulnérabilités sont toujours exploitées + Maintenir son niveau de connaissance des produits

+ S’informer de l’actualité des techniques d’attaque

+ Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de l’infrastructure (frameworks, bibliothèques, etc)

RENFORCER LA POLITIQUE

D’ACCES

De nouvelles formes d’attaques applicatives apparaissent + Comprendre ces attaques

+ Mesurer leur impact dans le système d’information

+ Mettre en place des techniques de protections adaptées (nouvelles règles ICX, modification et amélioration des politiques de sécurité)

Les communications SSL sont au cœur de la sécurité Web + Utiliser des algorithmes de chiffrement sûrs et reconnus

+ Maintenir le serveur applicatif à jour

+ Maintenir le pare-feu applicatif à jour

VALIDER LE TRAFFIC La majorité des nouvelles vulnérabilités sont issues d’un trafic anormal + Requêtes mal formées ou invalides

+ Protocole HTTP modifié

+ Flux de données anormalement important

Mettre en place des outils de contrôle et de maitrise du trafic: + Vérifier la taille des requêtes

+ Vérifier la validité du protocole

+ Vérifier le nombre et le format des paramètres

NE RIEN OUBLIER

Disparition progressive de l’architecture deux tiers + Les communications ne se font plus uniquement entre le client (navigateur internet) et le

serveur web

+ Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires)

+ Communication via des API Web Services (SOAP/XML) peu ou pas protégés !

Le cœur fonctionnel de l’application web reste le

même + Utilisation de SQL, HTML et de langages de script

+ Les attaques applicatives touchent également les web services

+ Au même titre que les applications web classiques, les Web Services doivent être protégés!

UNE APPLICATION WEB

SÉCURISÉE

UNE APPLICATION SÉCURISÉE

Une infrastructure à jour + Pare-feu applicatif + signatures

+ Serveur web

+ Annuaire et base de données

+ Système d’exploitation

Une maîtrise du trafic entrant + Taille des requêtes

+ Nombre de requêtes

+ Nombre et format de paramètres

+ Protocoles autorisés

Une bonne connaissance de l’application web + Identification des différents points

de communications

+ Evaluation des niveaux de confiance

Un suivi de l’actualité sécurité + Nouvelles vulnérabilités

+ Nouvelles attaques

VULNÉRABILITÉS WEB ‘13

WAF

WAF

WAF

WAF

MULTI

WAF

WAF

MULTI

WAF

WAF

# Vulnérabilité

1 Injection

2 Broken authentication & session management

3 Cross site scripting

4 Insecure direct object reference

5 Security misconfiguration

6 Sensitive data exposure

7 Missing function level access control

8 Cross site request forgery

9 Using components with known vulnerabilities

10 Unvalidated redirects and forwards

Contre mesure

Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important

VOTRE PARE-FEU APPLICATIF

Doit : + Être un équipement dédié

+ Être à jour !

+ Être modulaire et industrialisable

+ Protéger TOUTES les applications

+ Protéger efficacement les Web Services

+ Protéger les applications mobiles

Ne doit pas : + Être une boîte noire

+ Nécessiter 800 pages de manuel

+ Requérir l’intervention des développeurs

Web Application

Firewall, Web Access

Management et Web

Services Firewall.

MOINS DE PRODUITS Solution unifiée de filtrage, de contrôle du trafic HTTP, d’authentification et de routage applicatif. Applications, APIs, web services.

MOINS DE TEMPS Administration graphique simple et puissante. Profils d’applications, templates.

BEE WARE I-SUITE 5.5

Active monitoring

Application firewalling

Application routing

HTTP throttling

Mobility policies

REST/JSON

Reverse proxy

SOAP/XML

SSL tunneling

Strong authentication

Web cloaking

Workflow

MOINS DE STRESS Supervision et protection du trafic applicatif. En tout point du système d’information.

CONTACTS Service commercial + tel : +33 1 74 90 50 96

+ sales@bee-ware.net

Plus d’infos + http://www.bee-ware.net

+ http://blog.bee-ware.net

+ http://my.bee-ware.net

+ http://www.slideshare.net/bee_ware

+ http://www.scoop.it/t/securite-web

+ @beewaretech

+ @beewebsec