Rivals
Ancien staff
- Inscription
- 27 Août 2016
- Messages
- 1 705
- Réactions
- 895
- Points
- 13 104
Comment combler les failles de sécurité web les plus courantes ? (3.0)
Bonjour à tous, nous nous retrouvons pour la 3ème édition du sujet « Comment combler les failles de sécurité web les plus courantes » et la dernière.
Dans un premier temps je vais vous parler des failles de type IDOR, ce type de failles consiste à accéder à une ressource dont vous ne devriez pas avoir accès en modifiant un paramètre de type entier. Ce paramètre correspond à l’identifiant de la ressource, par exemple sur RealityGaming un sujet dispose d’un identifiant unique qui permet au système de récupérer le contenu de ce sujet, les réponses associées ainsi que l’auteur.
https://reality-gaming.fr/threads/{TITRE_DU_SUJET}.{IDENTIFIANT_DU_SUJET}
{IDENTIFIANT_DU_SUJET} est le paramètre qui pourrait être modifiée, en informatique il est très récurrent et nécessaire de se référencer un chiffre pour une ressource les chaines de caractères ne permettent pas ceci, vous pouvez vous même observer ceci en modifiant le titre du sujet dans l’URL de celui-ci vous verrez que cela ne pose pas de problèmes en revanche si vous modifiez l’identifiant du sujet ce ne sera pas la même histoire.
Imaginez un instant que l’on puisse accéder à des sujets présents dans des sections secrètes et ceci en modifiant l’identifiant du sujet ? Cela pose un problème de sécurité notamment lorsque vous êtes responsable des données de vos utilisateurs.
J’ai vu ce type de failles sur beaucoup de sites e-commerce et notamment sur des pages du type facture ou bon de commande sur lesquelles des données personnelles sont affichées (nom & prénom, adresse, adresse mail etc.).
CORRECTION
Pour palier à cette faille de sécurité il faut bien se poser cette question et de manière très précise : qui a accès à ce contenu et quand ?
Chaque fonctionnalité doit répondre à un besoin d’un utilisateur dans un cadre et un moment donné.
Pour la petite anecdote j’ai découvert une faille de ce type sur le site d’une grande société que l’on connait tous, cette faille exposait les informations personnelles (nom & prénom, adresse mail personnelle, adresse précise) de pas moins de 150’000 employés soit la totalité des employés. Ce type de faille peut permettre également des accès frauduleux à des ressources, dans le cas précédent il était possible d’accéder à la page d’édition d’un profil employé et ainsi modifier son mot de passe.
MISE A JOUR DE SECURITE NON EFFECTUEEElles peuvent être récurrentes, longues et parfois poser des problèmes, les mises à jour sont très importantes notamment lorsqu’elles permettent de corriger des problèmes de sécurité qui peuvent vous mettre en danger que ce soit vous ou vos utilisateurs.
Prenons l’exemple d’une mise à jour récente de Drupal (un CMS permettant de créer des sites web) qui a fixé un problème de sécurité majeure puisque sans elle n’importe quel visiteur pouvait prendre le contrôle du serveur sur lequel était hébergé votre site web.
Des milliers de sites web ont été pris pour cible par des robots chargés d’exploiter cette vulnérabilité et résultat des milliers de sites web ont été piratés pour différente raisons : miner des cryptomonnaies, récupérer les données et les revendre, utiliser le serveur cible comme zombie pour construire un réseau de DDoS.
CORRECTION
Il n’y a rien de plus simple, il suffit de vous informer et mettre à jour vos systèmes d’exploitations, votre CMS, vos plugins ou encore vos logiciels pour être sûr que vous possédez une version logicielle stable et sécurisée.
REFERENCEMENT DE PAGES SENSIBLES
Les moteurs de recherche sont une jungle dans laquelle il est possible de trouver des documents sensibles ou des pages qui ne devraient pas être public. Elle rejoint la faille de type IDOR puisque le combo des deux est souvent présent sur le web notamment comme je l’ai dis lorsqu’un site e-commerce n’indique pas aux robots d’indexation qu’il ne faut pas indexer les pages du type facture, bons de commande etc.
CORRECTION
Pour corriger ce type de problèmes il suffit de renseigner ce type de pages dans le fichier robots.txt à la racine de votre site web pour indiquer aux robots d’indexation de ne pas indexer les pages que vous aurez renseigné, c’est très simple et cela permet d’éviter notamment des fuites de données.
Code:
User-Agent: *[/INDENT][/INDENT]
[INDENT][INDENT]Disallow: /facture.php?id=*
Egalement, je vous conseille d'ajouter une meta spécifique pour indiquer qu'il ne faut pas référencer la page en question.
HTML:
<head>[/INDENT][/INDENT]
[INDENT][INDENT]<meta name="robots" content="noindex,nofollow"/>[/INDENT][/INDENT]
[INDENT][INDENT]</head>
UTILISATION DES MOTS DE PASSE PAR DEFAUTLorsque vous utilisez des solutions ou des technologies pour votre site web il n’est pas rare de retrouver un utilisateur administrateur par défaut et c’est quelque chose qu’il faut absolument éviter, il n’est pas rare de voir ce genre de cas pour des appareils électroniques je pense notamment à des caméras de surveillance qui font souvent l’objet de piratage car le mot de passe utilisé n’a pas été changée depuis l’installation de celle-ci.
CORRECTION
Ainsi, lorsque vous vous retrouvez face à la situation d’un utilisateur ou d’un mot de passe par défaut changez immédiatement le mot de passe ainsi sur le pseudonyme si il en est question.
Evitez un mot de passe encore une fois personnel, préférez l’utilisation d’un gestionnaire de mot de passe qui vous permettra de générer un mot de passe robuste contre le brute force.
J’espère que cette troisième édition vous aura plût et n’hésitez pas à poser des questions via les commentaires. Bonne journée,
Rivals
Dernière édition:
