WTM-20 - Qu'est-ce que le pentest web ? par Gabrielle Botbol

Transcript

1. QU’EST-CE QUE LE PENTEST WEB? et quelques exemples d’exploitation de

   vulnérabilités

2. De Bloggeuse à Pentesteuse Il était une fois… Mes aventures

   dans le monde de la cyber...

3. Comme avant toute expédition il fallait se préparer à l’aventure

   qui se dessinait... De Bloggeuse à Pentesteuse

4. À la recherche du savoir sous toutes ses formes... De

   Bloggeuse à Pentesteuse

5. De Bloggeuse à Pentesteuse Le partage de ces nouvelles compétences...

6. Mon premier emploi de pentester De À

7. Qu’est-ce qu’un hacker? HACKER ÉTHIQUE CYBER CRIMINEL

8. Qu’est-ce qu’un hacker? Black Grey White Crédits images:https://www.itpro.co.uk/hacking/30282/what-is-ethical-hacking-white-hat-hackers-explained

9. Qu’est-ce que le pentest? •Tenter de s’introduire dans un système

   pour en vérifier la sécurité •Différents types de pentests Crédits images:https://image.shutterstock.com/image-vector/furious-frustated-businessman-hitting-computer-260nw-200466014.jpg

10. Pentest Externe Crédits images:https://westoahu.hawaii.edu/cyber/cscc/global-cyber-environment/global-cybersecurity-resources/

11. Vulnerability assessment Crédits images:http://www.merule-expert.com/analyse-champignons.ws

12. Pentest interne Crédits images: https://www.groovypost.com/howto/connect-netowrks-windows-10/

13. Tests Wi-Fi Crédits images:https://www.istockphoto.com/ca/photo/business-woman-walking-computer-computing-typing-digital-table-gm166639731-23715417

14. Ingénierie Sociale - Phishing Crédits images:https://blog.malwarebytes.com/101/2018/09/6-sure-signs-someone-is-phishing-you-besides-email/

15. Tests de sécurité physique Crédits images: https://torusoft.com/blog/persona-non-grata

16. Tests de déni de service Crédits images: https://www.shutterstock.com/video/clip-12285575-loading-screen-bar-green-0-100-computer

17. Red Team Crédits images: https://www.fourchette-et-bikini.fr/sport/fiche/escrime.html

18. Tests Web Crédits images: https://hackercombat.com/cyber-criminals-are-selling-hacking-tools-on-the-dark-web/

19. Les étapes d’un pentest

20. Outils utilisés pour la démonstration Nous travaillerons avec Mutillidae pour

    hacker légalement installé via Metasploitable 2. Metasploitable 2 VM: https://sourceforge.net/projects/metasploitable/ Mutillidae seule: https://github.com/webpwnized/mutillidae Attention il faut toujours avoir l’autorisation du propriétaire du site avant de tenter quoi que ce soit, sinon c’est hors la loi! !

21. Cross Site Scripting Définition: Injection de code malicieux qui permettra

    par exemple de récupérer le cookie de session d’un administrateur. La documentation de OWASP est très complète: https://owasp.org/www-community/attacks/xss/ Les points d’injection sont les inputs permettant à l’utilisateur de saisir des informations. Lien utilisé pour l’exemple sur Mutillidae: http://<votre-serveur-web>/mutillidae/index.php?page=dns-lookup.php

22. Cette page comporte des points d’injection: Cross Site Scripting /

    Démo

23. Voyons d’abord ce qu’il se passe lors de l’envoi du

    formulaire: Cross Site Scripting / Démo

24. Notre saisie s’affiche sur la page: Ceci indique un point

    d’injection potentiel. Essayons le payload suivant: <script>alert(“WomenTechMakers”)</script> Cross Site Scripting / Démo

25. Voici notre alerte qui s’affiche Cross Site Scripting / Démo

26. Regardons le code de plus près <p class="report-header">Results for <script>alert("WomenTechMakers")</script><p><pre

    class="report-header" style="text-align:left;"></pre> Cross Site Scripting / Démo

27. Cross Site Scripting / Mitigation Mitigation: Pour éviter le Cross

    Site Scripting il faut faire de la validation de saisie. Il n’y a pas de méthode toute simple mais la documentation de OWASP et très utile, notamment la Cheat Sheet qui couvre la faille XSS: https://owasp.org/www-project-cheat-sheets/cheatsheets/Cross_Site_Scri pting_Prevention_Cheat_Sheet

28. Définition: Injection de code SQL qui peut permettre entre autres

    d’extraire des informations de la base de données ou d’outrepasser une page d’authentification. Voici la page d’OWASP concernant cette attaque: https://owasp.org/www-community/attacks/SQL_Injection SQL Injection

29. SQL Injection / Demo Outrepasser l’authentification avec le payload suivant:

    ‘or 1=1 --

30. Voyons à quoi ressemble la requête que nous avons envoyée:

    SELECT * FROM users WHERE username = '' OR 1=1-- ' AND password = ' OR 1=1-- - Partie en orange commentée à cause des caractères: -- Requête interprétée: SELECT * FROM users WHERE username = '' OR 1=1-- La condition 1=1 est toujours vraie donc la requête est “cassée” et le login nous est permis même sans les bons identifiants. SQL Injection / Demo

31. SQL Injection / Mitigation Mitigation: Il y a plusieurs possibilités:

    utiliser des prepared statements, utiliser des procédures storées, faire de la validation de saisie avec des whitelist, etc… Encore une fois OWASP propose une documentation très précise: https://owasp.org/www-project-cheat-sheets/cheatsheets/SQL_Injection_ Prevention_Cheat_Sheet

32. Définition: Accéder au système de fichier dont à des fichiers

    qu’un utilisateur sans privilèges n’est pas censé voir. Page OWASP: https://owasp.org/www-community/attacks/Path_Traversal Directory traversal

33. Directory traversal / Demo Observons cette page:

34. Directory traversal / Demo Regardons de plus près l’url: http://10.0.2.4/mutillidae/index.php?page=home.

    php On accède à la page via un paramètre dans l’url ce qui indique que la fonction PHP utilisée (include) pourrait être vulnérable.

35. Directory traversal / Demo Essayons le payload suivant: ../../../../../etc/passwd On

    va tenter d’accéder au fichier contenant les informations sur les utilisateurs du serveur (pour un serveur sous linux) Il faut l’ajouter à la place du paramètre comme ceci: http://10.0.2.4/mutillidae/index.php?page=../../../.. /../etc/passwd

36. Directory traversal / Demo Et voilà! Nous avons accès au

    fichier:

37. Directory traversal / Mitigation Mitigation: Il s’agit encore de faire

    de la validation de saisie. Voici la page OWASP concernant cette attaque: https://owasp.org/www-community/attacks/Path_Traversal

38. Présentation de quelques outils pour le pentest web - Proxies

    - Fuzzers - Autres outils

39. Les proxies - OWASP ZAP et Burpsuite - Objectif principal:

    Intercepter les requêtes, les analyser et/ou les modifier - OWASP Zap: Open source - BurpSuite: propriétaire, version community gratuite et version pro payante - Lors de notre navigation dans l’application cible les proxys vont relever des éléments potentiellement vulnérable et nous pourrons les analyser et valider s’ils sont effectivement vulnérables.

40. Voici un exemple d’interception de requête avec Burpsuite Les proxies

41. Les fuzzers Outil permettant d’envoyer une série de payloads ou

    de brute forcer des pages d’administration. - Peut se faire avec Burp intruder, dirb - Avec burp intruder on peut essayer différents payloads XSS sur un point d’injection par exemple. - On peut aussi tenter de brute forcer un formulaire d’authentification - Avec dirb on peut énumérer les répertoires d’un site avec une liste de mots prédéfinie.

42. Voici un exemple de résultat de fuzzing avec dirb pour

    énumérer les pages et les répertoires de l’application cible Les fuzzers

43. Autres outils Il y a énormément d’outils utiles et cela

    n’aurait pas de sens de tous les présenter ici. Mais je peux en mentionner quelques uns. - Beef pour XSS - SQL Map pour les injections SQL - WPScan pour WordPress - Tous les outils préinstallés sur kali linux.

44. - Listes de ressources utiles Hackthebox, Certified Secure, OWASP projects,

    Cybrary … Trouvez plus de ressources ici: https://gabrielleb.fr/blog/2018/09/16/ressources-resources/ - Le Mossé Institute propose une formation à distance pour les femmes qui souhaitent se former à la cyber. Contactez moi en dm sur Linkedin: Gabrielle Botbol Ressources

45. Questions? Merci pour votre attention! Contact Info • Twitter: ◦

    @Gabrielle_BGB • Linkedin ◦ Gabrielle Botbol • Blog ◦ https://gabrielleb.fr/blog