Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.

Chercher :
Newsletter :  


Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs





Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- USBsploit
- Commentaires


Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS/XML :
- Articles
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter


RSS SecuObs :
- sécurité
- exploit
- windows
- attaque
- outil
- microsoft


RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network


RSS Videos :
- curit
- security
- biomet
- metasploit
- biometric
- cking


RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco


RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS OPML :
- Français
- International











Revue de presse francophone :
- Appaloosa AppDome nouent un partenariat pour accompagner les entreprises dans le déploiement et la protection des applications mobiles
- D-Link offre une avec un routeur VPN sans fil AC
- 19 mai Paris Petit-Déjeuner Coreye Développer son business à l'abri des cyberattaques
- POYNTING PRESENTE LA NOUVELLE ANTENNE OMNI-291, SPECIALE MILIEU MARITIME, CÔTIER ET MILIEU HUMIDE
- Flexera Software Les utilisateurs français de PC progressent dans l'application de correctifs logiciels, mais des défis de tailles subsistent
- Riverbed lance SD-WAN basé sur le cloud
- Fujitsu multi-récompensé VMware lui décerne plusieurs Partner Innovation Awards à l'occasion du Partner Leadership Summit
- Zscaler Private Access sécuriser l'accès à distance en supprimant les risques inhérents aux réseaux privés virtuels
- QNAP annonce la sortie de QTS 4.2.1
- Une enquête réalisée par la société de cyber sécurité F-Secure a décelé des milliers de vulnérabilités graves, potentiellement utilisables par des cyber criminels pour infiltrer l'infrastru
- Trouver le juste équilibre entre une infrastructure dédiée et cloud le dilemme de la distribution numérique
- 3 juin - Fleurance - Cybersécurité Territoires
- Cyber-assurances Seules 40 pourcents des entreprises françaises sont couvertes contre les violations de sécurité et les pertes de données
- Des étudiants de l'ESIEA inventent CheckMyHTTPS un logiciel qui vérifie que vos connexions WEB sécurisées ne sont pas interceptées
- Les produits OmniSwitch d'Alcatel-Lucent Enterprise ALE gagnent en sécurité pour lutter contre les cyber-attaques modernes

Dernier articles de SecuObs :
- DIP, solution de partage d'informations automatisée
- Sqreen, protection applicative intelligente de nouvelle génération
- Renaud Bidou (Deny All): "L'innovation dans le domaine des WAFs s'oriente vers plus de bon sens et d'intelligence, plus de flexibilité et plus d'ergonomie"
- Mises à jour en perspective pour le système Vigik
- Les russes ont-ils pwn le système AEGIS ?
- Le ministère de l'intérieur censure une conférence au Canada
- Saut d'air gap, audit de firmware et (in)sécurité mobile au programme de Cansecwest 2014
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- #FIC2014: Entrée en territoire inconnu
- Le Sénat investit dans les monnaies virtuelles

Revue de presse internationale :
- VEHICLE CYBERSECURITY DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack
- Demand letter served on poll body over disastrous Comeleak breach
- The Minimin Aims To Be The Simplest Theremin
- Hacking group PLATINUM used Windows own patching system against it
- Hacker With Victims in 100 Nations Gets 7 Years in Prison
- HPR2018 How to make Komboucha Tea
- Circuit Bender Artist bends Fresnel Lens for Art
- FBI Director Suggests iPhone Hacking Method May Remain Secret
- 2016 Hack Miami Conference May 13-15, 2016
- 8-bit Video Wall Made From 160 Gaming Keyboards
- In An Era Of Decline, News Sites Can t Afford Poor Web Performance
- BeautifulPeople.com experiences data breach 1m affected
- Swedish Air Space Infringed, Aircraft Not Required
- Why cybercriminals attack healthcare more than any other industry
- Setting the Benchmark in the Network Security Forensics Industry

Annuaire des videos
- FUZZING ON LINE PART THREE
- Official Maltego tutorial 5 Writing your own transforms
- Official Maltego tutorial 6 Integrating with SQL DBs
- Official Maltego tutorial 3 Importing CSVs spreadsheets
- install zeus botnet
- Eloy Magalhaes
- Official Maltego tutorial 1 Google s websites
- Official Maltego tutorial 4 Social Networks
- Blind String SQL Injection
- backdoor linux root from r57 php shell VPS khg crew redc00de
- How To Attaque Pc With Back Track 5 In Arabique
- RSA Todd Schomburg talks about Roundup Ready lines available in 2013
- Nessus Diagnostics Troubleshooting
- Panda Security Vidcast Panda GateDefender Performa Parte 2 de 2
- MultiPyInjector Shellcode Injection

Revue Twitter
- RT @fpalumbo: Cisco consistently leading the way ? buys vCider to boost its distributed cloud vision #CiscoONE
- @mckeay Looks odd... not much to go on (prob some slideshow/vid app under Linux)
- [SuggestedReading] Using the HTML5 Fullscreen API for Phishing Attacks
- RT @BrianHonan: Our problems are not technical but cultural. OWASP top 10 has not changed over the years @joshcorman #RSAC
- RT @mikko: Wow. Apple kernels actually have a function called PE_i_can_has_debugger:
- [Blog Spam] Metasploit and PowerShell payloads
- PinkiePie Strikes Again, Compromises Google Chrome in Pwnium Contest at Hack in the Box: For the second time thi...
- @mikko @fslabs y'all wldn't happen to have lat/long data sets for other botnets, wld you? Doing some research (free/open info rls when done)
- RT @nickhacks: Want to crash a remote host running Snow Leopard? Just use: nmap -P0 -6 --script=targets-ipv6-multicast-mld #wishiwaskidding
- An inexpensive proxy service called is actually a front for #malware distribution -

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse

Annuaires des videos : curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit

+ de mots clés pour les videos

Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter

Top bi-hebdo des articles de SecuObs
- [Ettercap – Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing
- [Infratech - release] version 0.6 de Bluetooth Stack Smasher
- [IDS Snort Windows – Partie 2] Installation et configuration
- [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Mises à jour en perspective pour le système Vigik
- USBDumper 2 nouvelle version nouvelles fonctions !
- EFIPW récupère automatiquement le mot de passe BIOS EFI des Macbook Pro avec processeurs Intel
- La sécurité des clés USB mise à mal par USBDUMPER
- Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle
- Installation sécurisée d'Apache Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , Mod_security

Top bi-hebdo de la revue de presse
- StackScrambler and the Tale of a Packet Parsing Bug

Top bi-hebdo de l'annuaire des videos
- DC++ Botnet. How To DDos A Hub With Fake IPs.
- Comment creer un server botnet!!!!(Réseau de pc zombies)
- Defcon 14 Hard Drive Recovery Part 3

Top bi-hebdo de la revue Twitter
- RT @secureideas: I believe that all the XSS flaws announced are fixed in CVS. Will test again tomorrow if so, release 1.4.3. #BASESnort
- Currently, we do not support 100% of the advanced PDF features found in Adobe Reader... At least that's a good idea.
- VPN (google): German Foreign Office Selects Orange Business for Terrestrial Wide: Full
- @DisK0nn3cT Not really, mostly permission issues/info leak...they've had a couple of XSS vulns but nothing direct.
- Swatting phreaker swatted and heading to jail: A 19-year-old American has been sentenced to eleven years in pris..
- RT @fjserna You are not a true hacker if the calc.exe payload is not the scientific one... infosuck.org/0x0035.png

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT
- Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Tendances

English version with Google Translate

Nouvelles perspectives d’attaques pour les technologies Web 2.0

Par Rédaction, secuobs.com
Le 23/10/2006


Résumé : Les technologies émergentes liées au Web 2.0 sont de plus en plus utilisées par les internautes : RSS, wikis, blogs, AJAX. Leur généralisation introduit de nouvelles menaces de part notamment la multitude de flux (et donc d'entrées) entre le client et le serveur. - Lire l'article



Les technologies émergentes liées au Web sont de plus en plus utilisées par les internautes : flux RSS, wikis, blogs, applications AJAX [ lien ]. De nombreuses applications, autrefois développées sous forme de logiciels, sont désormais accessibles sur de simples navigateurs.

A titre d’exemple, un grand nombre d’entreprises proposent à leurs collaborateurs des interfaces Web permettant de poser des congés, de gérer leurs emplois du temps, d’accéder à leurs informations personnelles, etc.

Le terme de “Web 2.0” [ lien ] a été introduit par O’Reilly au travers de conférences et de publications pour désigner les nouvelles directions que prenait le Web, avec une interaction utilisateur toujours plus importante.

La généralisation des langages exécutés “côté serveur”, tels que l’ASP ou le PHP, ont beaucoup fait évoluer les problématiques de sécurité. Des tests d’intrusion externes mènent bien souvent à la découverte de vulnérabilités sur les “applications Web” hebergées.

Etant situés en bordure de réseau (bien souvent dans les zones démilitarisées - DMZ [ lien ]), les serveurs externes des entreprises ne sont pas les plus simples à auditer avec des mises à jour qui sont effectuées fréquemment, et peu de services accessibles directement. Les “web vulns” constituent donc la majorité des vulnérabilités recensées sur ces types de serveurs.

La généralisation du Web seconde génération introduit à son tour de nouvelles menaces, avec une multitude de flux (donc d’entrées) entre le client et le serveur. Ces technologies sont souvent tributaires des Web Services [ lien ].

Un article de Shreeraj Shah sur le site Net Square [ lien ] dresse un bilan des vulnérabilités les plus rencontrées avec 10 vecteurs d’attaque :


Failles XSS

Les failles XSS (Cross Site Scripting), longtemps considérées comme anodines, ont été reconsidérées suite à la diffusion, à titre d’exemple, de “Web Worms” non malicieux. L’exemple le plus médiatisé consistait en l’ajout automatique d’un contact inconnu. Après plusieurs jours, un nombre très important de personnes s’étaient vues connaître une nouvelle personne dans leurs réseaux de contacts.

Les applications AJAX axées sur les portails collaboratifs, permettent une grande diffusion des failles XSS. Elles visent particulièrement les sites dynamiques dont l’utilisateur peut interagir avec le contenu (les blogs en font évidemment partie). Un très bon papier au sujet des “Web Worms” est disponible dans les actes de la conférence SSTIC 2005 [ lien ]


Corruption XML

Le formalisme XML [ lien ] est utilisé en général dans des flux HTTP entre le client et le serveur. Un attaquant peut donc envoyer des paquets XML malformés (récursion importante, multiples encapsulations, etc.). Selon les moyens de gestion du format (parsing), le serveur peut alors crasher ou réagir avec un comportement erratique.

De plus, multipliant les flux simultanés, les échanges SOAP [ lien ] peuvent faciliter les dénis de service (DoS - Denial of Service) avec l’établissement de nombreuses connexions “légitimes”.


Exécution malicieuse de code AJAX

Contrairement aux échanges HTTP classiques dont la majeure partie des navigateurs alertent les utilisateurs en cas d’envoi de données (GET/POST classiques), les échanges des applications AJAX ne sont pas annoncés, les envois de données étant très réguliers.


Exploitation de failles via Atom / RSS

Les pages de syndication (ou “Web feeds”) permettent d’annoncer les modifications du contenu d’un site Web. Ils se révèlent très pratiques pour les sites d’informations, sur lesquels les nouveaux articles peuvent être référencés grâce au RSS [ lien ] ou à Atom [ lien ].

La page de syndication de SecuObs est par exemple accessible à l’adresse suivante [ lien ]. Les navigateurs vont donc chercher les mises à jour régulièrement, permettant l’annonce aux lecteurs d’un nouveau contenu sur le site.

L’exploitation d’une page de syndication permettrait à un attaquant d’exploiter de nombreuses machines à l’aide d’une vulnérabilité dans le navigateur ou d’un logiciel tiers des clients vulnérables.


Enumération des actions d’un Web Service

Le WSDL (Web Service Description Langage) [ lien ] permet de lister les formats de messages supportés par un Web Service. L’accès à ces informations permet d’appréhender les fonctions d’une application déportée et peut révéler l’architecture, le fonctionnement propre, ou voire même des crédences.


Rôle inopportun du client

Il est fréquent de trouver des validations ou vérifications effectuées côté client. Si la vérification d’un mot de passe en JavaScript (réalisée côté client) vous parait humoristique, il est néanmoins toujours possible d’assister à de tels scénarios en pratique !

Penser protéger un serveur contre des chaînes malformées via une simple vérification JavaScript est bien entendu illusoire, un attaquant aura vite fait de désactiver la fonction responsable de la vérification afin d’envoyer la chaîne directement au serveur.

Un autre exemple fréquemment rencontré est la vérification du contenu des chaînes afin d’éviter les injections SQL. Elle ne saurait en aucun cas être faite localement.


Routage des messages SOAP

WS-Security (Web Service Security : [ lien ]) définit des méthodes de routage pour les messages SOAP (WS-Routing). Il est possible de définir des chemins de noeuds (i.e. serveurs) par lesquels les messages SOAP transiteront.

Ils sont donc une cible de choix pour des attaquants, qui pourraient ainsi écouter passivement les messages en transit, les modifier à la volée, ou les rejouer (cas le plus simple sur des flux chiffrés).


Manipulation des paramètres

Les paramètres des messages SOAP sont destinés à être utilisés par le serveur. Il est envisageable pour un développeur peu soucieux des aspects “sécurité” d’insérer un paramètre reçu dans une commande shell afin de retourner une partie de la sortie standard mise en forme. Quel serait le comportement du système avec un paramètre “[garbage] ; rm -rf ~/” ?

Il s’agit ici d’un exemple ludique mais bon nombre d’actions peuvent être imaginées sur ces bases. Il s’agit encore une fois de filtrer correctement l’ensemble des entrées, bien que celles-ci deviennent très difficiles à identifier étant donnée l’interaction omniprésente avec les clients.


Injections XPATH

XPath (XML Path Language) [ lien ] permet de récupérer des parties de documents XML en fonction de requêtes, de la même façon qu’une base de données renverrait les informations contenues dans une table suite à une requête SQL par exemple.

Des requêtes XPath sont parfois générées à l’aide de paramètres transmis par un client. Les attaques sur XPath sont similaires sur bien des points aux injections SQL [ lien ] et peuvent mener aux mêmes conséquences : authentifications frauduleuses, récupération d’informations, etc.

Des requêtes XPath permettent également d’écrire dans les fichiers XML... La syntaxe des requêtes XPath sont de la forme : xmlDoc.selectNodes("/utilisateurs/utilisateur[0]")


Utilisation de clients légers (binaires, flash, activeX...)

L’utilisation de Web Services peut s’effectuer au travers de clients légers : applets Java, activeX, flash mais également binaires. Les auteurs de ces solutions doivent impérativement garder à l’esprit que les éléments d’authentification ne peuvent (devrions-nous dire ne doivent) pas être stockées dans ces applications.

Les applications flash sont particulièrement triviale à reverser, tout comme les applets Java (les quelques techniques d’obfuscation ont comme seul but de retarder l’analyse). Les binaires n’en sont pas moins vulnérables.

Des outils tels qu’IDA Pro [ lien ] permettent de simplifier les tâches de Reverse Engineering [ lien ]. Outre l’utilisation de protections applicatives classiques (obfuscation, packers, protections anti-debug...), les règles de bon sens doivent être appliquées.


Si les vulnérabilités logicielles liées à la gestion de la mémoire des processus sont de plus en plus difficiles à exploiter, les “vulnérabilités du Web”, elles, sont relativement triviales.

Pourquoi un attaquant irait développer un “exploit permettant de déclencher un buffer overflow dans la pile, dont les adresses peuvent être rendues aléatoires avec l’utilisation d’ASLR” (Address Space Layout Randomization [ lien ]), alors qu’il existe des moyens équivalents, bien plus accessibles et plus rapides ?

L’engouement pour les “nouvelles technologies” du Web engendre de nouvelles attaques. De nouvelles précautions doivent donc être prises dès le début de la conception de ces applications. Les problèmes de design intrinsèques au fonctionnement de ces applications risquent malheureusement d’être de plus en plus fréquents.



- Article suivant : Vidalia, une interface graphique pour Tor et Privoxy
- Article précédent : La détection dynamique de shellcodes polymorphiques, une piste pour les anti-malwares du futur ?
- Article suivant dans la catégorie Tendances : Les navigateurs web, une porte dérobée vers l'intranet d'entreprise ?
- Article précédent dans la catégorie Tendances : La détection dynamique de shellcodes polymorphiques, une piste pour les anti-malwares du futur ?


Les derniers commentaires de la catégorie Tendances:
- ESRT @Beaker - @BrianDuPrix - security Researchers Develop Enhanced Security for Cloud Computing - So little detail ...
- ACTA To Be Signed This Weekend ...
- ESRT @opexxx - sshtrix - a very fast multithreaded SSHv1 and SSH1v2 login cracker version 0.0.2 ...
- ESRT @DarkOperator - SSHtrix - Fastest Multithreaded SSHv1 and SSH1v2 login cracker ...
- SSHatter 1.0 ...

Les derniers articles de la catégorie Tendances :
- Le ministère de l intérieur censure une conférence au Canada
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- Le Sénat investit dans les monnaies virtuelles
- #LPM2013: Un nouvel espoir ?
- L ANSSI durcit le ton
- Une belle série de conférences pour le printemps
- STIX standardise l’échange des informations relatives aux attaques cybernétiques
- Avec VET, le DARPA se charge de vérifier l’intégrité des périphériques et des logiciels
- Shylock doté d’une technique d’évasion des analyses effectuées via des sessions RDP
- Calcul à grande échelle via l’exploitation de navigateurs Web utilisant le Cloud Computing




SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :