Les menaces applicatives
-
Upload
beeware -
Category
Real Estate
-
view
751 -
download
2
description
Transcript of Les menaces applicatives
Comprendre et anticiper
les menaces applicatives.
LES GRANDS CLASSIQUES
LES GRANDS CLASSIQUES
Attaques applicatives + SQL Injection
+ Cross Site Scripting
+ Command Injection
+ Path Traversal
+ Local (remote) File Inclusion
+ Redirections vers des sites tiers
Faiblesses d’architecture + Mauvaise gestion des droits
+ Mauvaise gestion des accès aux ressources
+ Upload de fichiers dangereux
+ Cookies non sécurisés
+ Pages sessionless
Déni de service + Atteinte des limites du serveur
+ Atteinte des limites de l’application
+ Vulnérabilité serveur (Apache, IIS, etc)
Phishing/Scamming + Emails piégés
+ Abus de confiance
+ Ingénierie sociale
POURQUOI SONT ILS SI
MÉCHANTS ? Objectifs + Vol de données sensibles (plusieurs € par référence)
+ Interruption de service
+ Atteinte à l’image de marque ou d’une société
+ Prise de contrôle de machines cibles
+ Revenus financiers
Quelques exemples + US Army credentials informations leaks
+ NATO documents steal
+ SCADA
+ DDOS Operation (HSBC, Facebook, Twitter, Forex market)
+ Phishing (facebook, twitter)
CONTRE-MESURES Attaques applicatives + Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic)
+ Développement sécurisé
+ Audits (code et sécurité)
Déni de service + Mise en place de pare-feu réseau
+ Mise en place d’une sonde réseau
+ (Virtual) Patching afin de contrer les vulnérabilités 0-Day
Phishing + Mise en place de solutions d’authentification des emails
+ Formation du personnel
+ Sensibilisation des utilisateurs (http://www.phishing.fr)
NOUVELLES TENDANCES
ATTAQUES APPLICATIVES
Obfuscation d’attaques applicatives (Firewall
Bypassing)
+ Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL
encoding)
+ SQL Injection avancées (blind injections, conversions implicites)
+ XSS avancés (Javascript obfuscation)
Nouvelles attaques + HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs)
+ XSRF (la vulnérabilité la plus répandue actuellement)
+ Des évolutions des anciennes recettes…
ATTAQUES ZERO DAY
Cibles sur le serveur + Apache, IIS, Tomcat, Glassfish
+ OpenSSL, XML parsers
+ Vulnérabilités Système
Méthodologie + Requêtes et communications malformées
+ Exploitation de fuite mémoire
Outils + Metasploit
+ Slowloris
+ THC-SSL-DOS, etc.
ATTAQUES DU PROTOCOLE SSL
Ciphers cracking + B.E.A.S.T.
+ CBC mode vulnerability
SSL Bypass + C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL)
+ C.R.I.M.E. v2 (HTTP Compression, Time Attack)
BONNES PRATIQUES
SE MAINTENIR A JOUR
Les attaques applicatives évoluent et se transforment + Maintenir ses règles de sécurité à jour
+ Installer les mises à jour des produits de défense dès qu’elles sont disponibles
+ Mettre en place des règles de virtual patching via ICX ou les workflows
Les nouvelles vulnérabilités sont toujours exploitées + Maintenir son niveau de connaissance des produits
+ S’informer de l’actualité des techniques d’attaque
+ Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de l’infrastructure (frameworks, bibliothèques, etc)
RENFORCER LA POLITIQUE
D’ACCES
De nouvelles formes d’attaques applicatives apparaissent + Comprendre ces attaques
+ Mesurer leur impact dans le système d’information
+ Mettre en place des techniques de protections adaptées (nouvelles règles ICX, modification et amélioration des politiques de sécurité)
Les communications SSL sont au cœur de la sécurité Web + Utiliser des algorithmes de chiffrement sûrs et reconnus
+ Maintenir le serveur applicatif à jour
+ Maintenir le pare-feu applicatif à jour
VALIDER LE TRAFFIC La majorité des nouvelles vulnérabilités sont issues d’un trafic anormal + Requêtes mal formées ou invalides
+ Protocole HTTP modifié
+ Flux de données anormalement important
Mettre en place des outils de contrôle et de maitrise du trafic: + Vérifier la taille des requêtes
+ Vérifier la validité du protocole
+ Vérifier le nombre et le format des paramètres
NE RIEN OUBLIER
Disparition progressive de l’architecture deux tiers + Les communications ne se font plus uniquement entre le client (navigateur internet) et le
serveur web
+ Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires)
+ Communication via des API Web Services (SOAP/XML) peu ou pas protégés !
Le cœur fonctionnel de l’application web reste le
même + Utilisation de SQL, HTML et de langages de script
+ Les attaques applicatives touchent également les web services
+ Au même titre que les applications web classiques, les Web Services doivent être protégés!
UNE APPLICATION WEB
SÉCURISÉE
UNE APPLICATION SÉCURISÉE
Une infrastructure à jour + Pare-feu applicatif + signatures
+ Serveur web
+ Annuaire et base de données
+ Système d’exploitation
Une maîtrise du trafic entrant + Taille des requêtes
+ Nombre de requêtes
+ Nombre et format de paramètres
+ Protocoles autorisés
Une bonne connaissance de l’application web + Identification des différents points
de communications
+ Evaluation des niveaux de confiance
Un suivi de l’actualité sécurité + Nouvelles vulnérabilités
+ Nouvelles attaques
VULNÉRABILITÉS WEB ‘13
WAF
WAF
WAF
WAF
MULTI
WAF
WAF
MULTI
WAF
WAF
# Vulnérabilité
1 Injection
2 Broken authentication & session management
3 Cross site scripting
4 Insecure direct object reference
5 Security misconfiguration
6 Sensitive data exposure
7 Missing function level access control
8 Cross site request forgery
9 Using components with known vulnerabilities
10 Unvalidated redirects and forwards
Contre mesure
Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
VOTRE PARE-FEU APPLICATIF
Doit : + Être un équipement dédié
+ Être à jour !
+ Être modulaire et industrialisable
+ Protéger TOUTES les applications
+ Protéger efficacement les Web Services
+ Protéger les applications mobiles
Ne doit pas : + Être une boîte noire
+ Nécessiter 800 pages de manuel
+ Requérir l’intervention des développeurs
Web Application
Firewall, Web Access
Management et Web
Services Firewall.
MOINS DE PRODUITS Solution unifiée de filtrage, de contrôle du trafic HTTP, d’authentification et de routage applicatif. Applications, APIs, web services.
MOINS DE TEMPS Administration graphique simple et puissante. Profils d’applications, templates.
BEE WARE I-SUITE 5.5
Active monitoring
Application firewalling
Application routing
HTTP throttling
Mobility policies
REST/JSON
Reverse proxy
SOAP/XML
SSL tunneling
Strong authentication
Web cloaking
Workflow
MOINS DE STRESS Supervision et protection du trafic applicatif. En tout point du système d’information.
CONTACTS Service commercial + tel : +33 1 74 90 50 96
Plus d’infos + http://www.bee-ware.net
+ http://blog.bee-ware.net
+ http://my.bee-ware.net
+ http://www.slideshare.net/bee_ware
+ http://www.scoop.it/t/securite-web
+ @beewaretech
+ @beewebsec