HAL Id: tel-00782565 https://tel.archives-ouvertes.fr/tel-00782565 Submitted on

HAL Id: tel-00782565 https://tel.archives-ouvertes.fr/tel-00782565 Submitted on 30 Jan 2013 HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers. L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés. Analyse de vulnérabilités et évaluation de systèmes de détection d’intrusions pour les applications Web Rim Akrout To cite this version: Rim Akrout. Analyse de vulnérabilités et évaluation de systèmes de détection d’intrusions pour les applications Web. Informatique et langage [cs.CL]. INSA de Toulouse, 2012. Français. ￿tel-00782565￿ %NVUEDELOBTENTIONDU%0$503"5%& %0$503"5%&-6/*7&34*5² -6/*7&34*5²%&506-064& %&506-064& $ÏLIVRÏPAR  $ISCIPLINEOUSPÏCIALITÏ 0RÏSENTÏEETSOUTENUEPAR4ITRE *529%COLEDOCTORALE 5NITÏDERECHERCHE $IRECTEURS DE4HÒSE 2APPORTEURS LE Institut National des Sciences Appliquées de Toulouse (INSA Toulouse) Systèmes (EDSYS) Analyse de vulnérabilités et évaluation de systèmes de détection d'intrusions pour les applications Web jeudi 18 octobre 2012 Rim AKROUT Systèmes Informatiques Carlos AGUILAR MELCHOR et Christophe BIDAN : Rapporteurs Abdelmalek BENZEKRI et Alain RIBAULT : Examinateurs Mohamed KAÂNICHE et Vincent NICOMETTE : Directeurs de thèse Eric ALATA : Invité Carlos AGUILAR MELCHOR et Christophe BIDAN Mohamed KAÂNICHE et Vincent NICOMETTE Laboratoire d'Analyse et d'Architecture des Systèmes du CNRS i Résumé Analyse de vulnérabilités et évaluation de systèmes de détection d’intrusions pour les applications Web Avec le développement croissant d’Internet, les applications Web sont devenues de plus en plus vulnérables et exposées à des attaques malveillantes pouvant porter atteinte à des propriétés essentielles telles que la confidentialité, l’intégrité ou la disponibilité des systèmes d’information. Pour faire face à ces malveillances, il est nécessaire de développer des mécanismes de protection et de test (pare feu, système de détection d’intrusion, scanner Web, etc.) qui soient efficaces. La question qui se pose est comment évaluer l’efficacité de tels mécanismes et quels moyens peut-on mettre en œuvre pour analyser leur capacité à détecter correctement des attaques contre les applications web. Dans cette thèse nous proposons une nouvelle méthode, basée sur des techniques de clustering de pages Web, qui permet d’identifier les vulnérabilités à partir de l’analyse selon une approche boîte noire de l’application cible. Chaque vulnérabilité identifiée est réellement exploitée ce qui permet de s’assurer que la vulnérabilité identifiée ne correspond pas à un faux positif. L’approche proposée per- met également de mettre en évidence différents scénarios d’attaque potentiels incluant l’exploitation de plusieurs vulnérabilités successives en tenant compte explicitement des dépendances entre les vul- nérabilités. Nous nous sommes intéressés plus particulièrement aux vulnérabilités de type injection de code, par exemple les injections SQL. Cette méthode s’est concrétisée par la mise en œuvre d’un nou- veau scanner de vulnérabilités et a été validée expérimentalement sur plusieurs exemples d’applications vulnérables. Nous avons aussi développé une plateforme expérimentale intégrant le nouveau scanner de vulnérabilités, qui est destinée à évaluer l’efficacité de systèmes de détection d’intrusions pour des applications Web dans un contexte qui soit représentatif des menaces auxquelles ces applications seront confrontées en opération. Cette plateforme intègre plusieurs outils qui ont été conçus pour automatiser le plus possible les campagnes d’évaluation. Cette plateforme a été utilisée en particulier pour évaluer deux techniques de détection d’intrusions développées par nos partenaires dans le cadre d’un projet de coopération financé par l’ANR, le projet DALI. Mots-clés : Application Web, Attaque et vulnérabilités, Évaluation, Système de détection d’intrusions, Scanner Web, ii Web applications vulnerability analysis and intrusion detection systems assessment With the increasing development of Internet, Web applications have become increasingly vul- nerable and exposed to malicious attacks that could affect essential properties such as confidentiality, integrity or availability of information systems. To cope with these threats, it is necessary to develop efficient security protection mechanisms and testing techniques (firewall, intrusion detection system, Web scanner, etc..). The question that arises is how to evaluate the effectiveness of such mechanisms and what means can be implemented to analyze their ability to correctly detect attacks against Web applications. This thesis presents a new methodology, based on web pages clustering, that is aimed at identifying the vulnerabilities of a Web application following a black box analysis of the target application. Each iden- tified vulnerability is actually exploited to ensure that the identified vulnerability does not correspond to a false positive. The proposed approach can also highlight different potential attack scenarios including the exploitation of several successive vulnerabilities, taking into account explicitly the dependencies between these vulnerabilities. We have focused in particular on code injection vulnerabilities, such as SQL injections. The proposed method led to the development of a new Web vulnerability scanner and has been validated experimentally based on various vulnerable applications. We have also developed an experimental platform integrating the new web vulnerability scanner, that is aimed at assessing the effectiveness of Web applications intrusion detection systems, in a context that is representative of the threats that such applications face in operation. This platform integrates several tools that are designed to automate as much as possible the evaluation campaigns. It has been used in particular to evaluate the effectiveness of two intrusion detection techniques that have been developed by our partners of the collaborative project DALI, funded by the ANR, the French National Research Agency. Keywords : Web applications, Web attacks, Vulnerabilities, Evaluation, Intrusion detection System, Web vulnerability scanners. iii Dédicace A la mémoire de mon père, le destin ne nous a pas laissé le temps de jouir de ce bonheur ensemble et de t’exprimer tout mon respect. A ma mère pour tout son amour et son soutien. Quoique je puisse dire, je ne peux exprimer mes sentiments d’amour et de respect à ton égard et ma gratitude. A ma sœur, mes deux frères, mes deux belles sœurs et mon beau frère, votre aide, votre générosité, votre soutien ont été pour moi une source de courage et de confiance. Qu’il me soit permis aujourd’hui de vous assurer mon profond amour et ma grande reconnaissance. A tous ceux qui comptent pour moi... Malgré la distance sans vous aucune réussite n’aurait été possible. Aucun mot ne saurait retranscrire ici le bonheur que vous m’avez toujours apporté. Je crois que vous êtes fiers de moi, autant que moi de vous. Rim AKROUT iv Remerciement C’est avec un grand plaisir que je réserve cette page en signe de gratitude et de profonde reconnaissance à tous ceux qui ont bien voulu apporter l’assistance nécessaire au bon déroulement de ce travail. Cette thèse a été effectuée au sein de l’équipe Tolérance aux fautes et Sûreté de Fonctionnement informatique (TSF) au Laboratoire d’Analyse et d’Architecture des Systèmes au Centre National de la Recherche Scientifique (LAAS-CNRS). Je tiens à remercier Jean Arlat, Directeur de Recherche CNRS qui assure la direction du LAAS-CNRS et Karama Kanoun, Directeur de Recherche CNRS et responsable de l’équipe TSF de m’avoir permis d’accomplir mes travaux dans ce laboratoire. J’aimerais, tout d’abord, exprimer toute ma gratitude à mes encadrants pour la qualité et la complémentarité de leur encadrement. Je remercie Mohamed Kaâniche et Vincent Nicomette, mes directeurs de thèse, de m’avoir aidé à bien mener ces recherches, pour leur soutien scientifique et leur disponibilité. Je tiens à remercier également Eric Alata pour les multiples remarques très constructives et d’avoir trouvé le temps et la patience de m’aider dans mes travaux. J’adresse mes sincères remerciements à tous les membres du jury qui m’ont fait l’honneur d’accepter de prendre part à ce jury et surtout de lire et d’expertiser mon travail. Je remercie Carlos Aguilar Melchor, Maître de conférence à l’Université de Limoges, et Christophe Bidan, Professeur à Supelec de Rennes, qui ont accepté d’être les rapporteurs de cette thèse. Je remercie aussi Abdelmalek Benzekri, Professeur à l’Université Paul Sabatier, et Alain Ribault Ingénieur à Kereval, d’avoir accepté de participer au jury. Je souhaite remercier toutes les personnes avec lesquelles j’ai travaillé, particulièrement Anthony Dessiatnikoff, Yann Bachy et Guillaumme Davy pour leurs contributions. Je tiens à remercier également Yves Crouzet et Sonia De Sousa, pour leur aide précieux, ainsi que les différents services techniques et administratifs du LAAS-CNRS qui m’ont permis de travailler dans d’excellentes conditions. Merci aussi à tous mes collègues du laboratoire. Je leur exprime ma profonde sympathie et leur souhaite beaucoup de bien et de bonne chance. Toute mon amitié à mes amis qui se reconnaîtront ici, merci pour les moments d’amitié que nous avons partagés. Vous avez toujours été présents pendant les moments les plus difficiles de ma vie professionnelle et personnelle, j’ai eu beaucoup de chance de vous avoir comme amis. Merci d’avoir cru à ce travail, merci de l’avoir défendu. Table des matières Introduction Générale 1 1 Contexte des travaux 5 1.1 Technologies Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.2 Vulnérabilités et attaques web . . . . . . uploads/Science et Technologie/ phd-thesisrimakrout-pdf.pdf

Tags
Science et Technologievulnérabilités cette requêtes détection applications
Documents similaires
  • 21
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager