Table des matières:
Vidéo: PEUT-ON VOUS ESPIONNER PAR VOTRE WEBCAM ? 2024
Dans cette étude de cas, Caleb Sima, un expert en sécurité des applications bien connu, a été embauché pour les applications Web du client. Cet exemple de découverte d'un risque de sécurité est un bon avertissement pour protéger vos informations privées.
La situation
M. Sima a été embauché pour effectuer un test de pénétration d'application Web pour évaluer la sécurité d'un site Web financier bien connu. Equipé de rien de plus que l'URL du site financier principal, M. Sima a cherché à trouver quels autres sites existaient pour l'organisation et a commencé à utiliser Google pour rechercher des possibilités.
M. Au départ, Sima a effectué un scan automatisé sur les serveurs principaux pour découvrir tout fruit à portée de main. Cette analyse a fourni des informations sur la version du serveur Web et d'autres informations de base, mais rien de ce qui s'est avéré utile sans recherches supplémentaires. Pendant que M. Sima effectuait l'analyse, ni l'IDS ni le pare-feu ne remarquaient son activité.
Ensuite, M. Sima a envoyé une demande au serveur sur la page Web initiale, qui a renvoyé des informations intéressantes. L'application Web semblait accepter de nombreux paramètres, mais alors que M. Sima continuait à naviguer sur le site, il a remarqué que les paramètres de l'URL restaient les mêmes.
M. Sima a décidé de supprimer tous les paramètres dans l'URL pour voir quelles informations le serveur retournerait lorsqu'il est interrogé. Le serveur a répondu avec un message d'erreur décrivant le type d'environnement d'application.
Ensuite, M. Sima a effectué une recherche Google sur l'application qui a abouti à une documentation détaillée. M. Sima a trouvé plusieurs articles et notes techniques dans cette information qui lui montraient comment l'application fonctionnait et quels fichiers par défaut pouvaient exister. En fait, le serveur avait plusieurs de ces fichiers par défaut.
M. Sima a utilisé cette information pour approfondir l'application. Il a rapidement découvert les adresses IP internes et les services offerts par l'application. Dès que M. Sima a su exactement quelle version l'admin courait, il a voulu voir quoi d'autre il pourrait trouver.
M. Sima a continué à manipuler l'URL de l'application en ajoutant & caractères dans la déclaration pour contrôler le script personnalisé. Cette technique lui a permis de capturer tous les fichiers de code source. M. Sima a noté quelques noms de fichiers intéressants, y compris VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm, et ChangePassword. htm.
Ensuite, M. Sima a essayé de se connecter à chaque fichier en émettant une URL spécialement formatée sur le serveur.Le serveur a renvoyé un message Utilisateur non connecté pour chaque requête et a déclaré que la connexion doit être établie à partir de l'intranet.
Le résultat
Mr. Sima savait où se trouvaient les fichiers et était capable de renifler la connexion et de déterminer que ApplicationDetail. fichier htm définir une chaîne de cookie. Avec une petite manipulation de l'URL, M. Sima a touché le jackpot. Ce fichier renvoyait les informations client et les cartes de crédit lors du traitement d'une nouvelle demande client. CreditReport. htm a permis à M. Sima d'afficher le statut du rapport de solvabilité de la clientèle, les informations sur la fraude, le statut de demande refusée et d'autres informations sensibles.
La leçon: les pirates informatiques peuvent utiliser de nombreux types d'informations pour percer les applications Web. Les exploits individuels dans cette étude de cas étaient mineurs, mais lorsqu'ils étaient combinés, ils entraînaient de graves vulnérabilités.
Caleb Sima était un membre fondateur de l'équipe X-Force à Internet Security Systems et était le premier membre de l'équipe de test de pénétration. M. Sima a ensuite co-fondé SPI Dynamics (plus tard acquise par HP) et est devenu CTO, ainsi que directeur de SPI Labs, le groupe de recherche et développement en sécurité applicative de SPI Dynamics.
