Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Introduction à w3af Cet article explique... • L’utilisation de w3af. • La récup

Introduction à w3af Cet article explique... • L’utilisation de w3af. • La récupération et l’utilisation d’information. Ce qu'il faut savoir... • Les bases des sites web • Les bases des attaques Web (Injection SQL / Injection de code / Inclusion de fichier) Auteur Régis SENET est actuellement étudiant en quatrième année à l’école Supérieur d’informatique Supinfo. Passionné par les tests d’intrusion et les vulnérabilités Web, il tente de découvrir la sécurité informatique d’un point de vue entreprise. Il est actuellement en train de s’orienter vers le cursus CEH, LPT et Offensive Security. Contact : regis.senet@supinfo.com Page d'accueil : http://w3af.sourceforge.net/ 1. Pourquoi protéger vos applications web ? La sécurité des sites internet est aujourd'hui l’un des aspects de la sécurité en entreprise le plus souvent négligé alors qu’il devrait être une priorité dans n'importe quelle organisation. De plus en plus, les pirates informatiques concentrent leurs efforts sur les applications web afin d’obtenir une approche des informations confidentielles et abuser des données sensibles comme les détails de client, les numéros de carte de crédit et autre. Les applications web réalisant des achats en ligne, des authentifications d’utilisateurs ou utilisant simplement tous types de contenu dynamique permettent à l’utilisateur d’interagir avec des données présent dans une base de données. Sur certaines applications, ces données peuvent être personnelles voir sensibles. Si ces applications web ne sont pas sécurisées, votre base de données entière de renseignements sensibles court un risque réel. Comme tous systèmes informatiques, une application web doit répondre à trois caractéristiques : - Confidentialité - Disponibilité - Intégrité La sécurisation des réseaux ainsi que l’installation d’un pare-feu ne fournit aucune protection contre les attaques web car celles-ci sont lancées sur le port 80 (le port par défaut pour les sites Internet) qui doit rester ouvert. Pour la stratégie de sécurité la plus complète, il est donc urgent que vous auditiez régulièrement vos applications web pour vérifier la présence de vulnérabilités exploitables. 2. Pourquoi s’attaquer à une application web ? Les failles web permettent des actions de plus en plus importantes de la part des pirates informatique. Il est fini le temps ou le piratage d’un site Web se contenté d’afficher une simple fenêtre sur la page de l’utilisateur ou bien le vol d’un cookie. De nos jours, le piratage d’une application Web est nettement plus dangereux que cela : - Défaçage complet ou partiel d’un site Internet. - Accès aux données sensibles des utilisateurs. Quels sont les raisons de ses actions ? Les pirates informatiques sont principalement motivés par deux raisons : - La gloire Le défaçage d’un site rentre souvent dans cette catégorie de piratage. En effet, le défaçage d’un site peut être l’éventualité de marquer son territoire ou simplement de se faire connaître par le monde des pirates en modifiant le site cible. - L’argent Les pirates sont souvent attirés par l'appât du gain qu’il soit direct ou indirect. Un gain direct est un gain leur revenant personnellement alors qu’un gain indirect se définirait plus comme étant une perte pour l’entreprise cible. En effet, le vol d’informations confidentielles comme les numéros de carte bleu par exemple est un commerce de plus en plus porteur sur le net. Pour exemple d’un gain indirect, en 2006, ChoicePoint a payé 10 millions de dollars dans les peines civiles et 5 millions dans la réparation de consommateur après que les dossiers financiers personnels de plus de 163,000 consommateurs dans sa base de données avaient été compromis. De même, un pirate informatique a gagné l'approche à plus de cinq millions de numéro de carte de crédit en février de 2003 grâce à une attaque d'application web. Il est bel et bien temps d’inclure les sites web dans la politique de sécurité des entreprises et ceci de manières draconiennes. Pour faire, nous allons maintenant vous présenter w3af. 3. Qu’est ce que w3af ? 3.1 Définition W3af ou bien encore Web Application Attack and Audit Framework est, comme son nom l’indique, un framework permettant d’automatiser l’audit ainsi que les attaques à l’encontre des applications web. Pour ceux d’entre vous connaissant Métasploit, w3af peut être comparé à ce dernier en matière de pen-test sur les applications web. W3af est un framework très complet placé sous licence GPL (General Public License) entièrement écrit en Python avec un code extrêmement bien commenté permettant ainsi à n’importe quel développeur potentiel de créer ses propres modules/exploits. Grossièrement, w3af peut se décomposer en trois catégories : - Découverte - Audit - Attaque Les plugins de « découverte » ont pour but de rechercher des formulaires, des urls ou plus généralement tout point potentiel d’injection de code malveillant. Un exemple classique de plugin de découverte est web spider. Ce plugin prend une URL en entrée et retourne un ou plusieurs points d'injection. Les plugins d’ « audit » attendent les points d'injection découverts par les plugins de découverte et envoient des données construites spécifiquement à tous ces derniers afin de trouver des vulnérabilités. Un exemple classique de plugin audit est un plugin qui recherche des vulnérabilités d'injection SQL. Les plugins d’ « attaque » ont pour but d'exploiter les vulnérabilités trouvées par les plugins d’audit et de découverte. Ils retournent en général un Shell sur le serveur distant, ou un dump des tables distantes dans le cas des exploits d'injections SQL. 3.2 Origine du projet Le projet w3af à vu le jour au début de l’année 2007 (Fin janvier, début février) grâce aux travaux de son unique développeur Andrés Riancho. Andrés est un chercheur connu et reconnu dans le monde de la sécurité informatique notamment dans le domaine des applications web. W3af est actuellement à sa version 1.0-rc1 Son principal objectif est de rendre le web le plus sécuritaire possible vu les enjeux qui sont maintenant en train de transiter dessus. Le framework w3af est très portable et peut s’utiliser sur n’importe quelle plateforme tant que cette dernière supporte le Python (Linux, WinXP, Vista, OpenBSD, etc.) A partir du moment où l’environnement Python est présent sur la machine accueillant w3af, il existe trois moyens afin de s’en servir : - Téléchargement et installation des paquets (Solution sous linux) - Téléchargement et exécution des binaires (Solution sous Windows) - Utilisation de w3af contenu dans le LiveCD Samurai Au cours de cet article, nous allons donc utiliser le LiveCD Samurai Web Testing Framework afin de pouvoir utiliser w3af dans les meilleures conditions possibles. Pour simple information, Samurai Web Testing Framework est un LiveCD préconfiguré pour les tests de pénétration des sites web. Ce LiveCD contient les meilleurs outils de cette catégorie qu’ils soient Open Source ou bien gratuit. Ce LiveCD est disponible à l’adresse http://samurai.inguardians.com/ 3.3 Objectif Avec la réussite que rencontre w3af dans les tests de pénétration web, Andrés Riancho a pour objectif de faire de w3af le meilleur scanner d’application web Open Source ainsi que le meilleur framework d’exploitation des failles pour les applications web. Pour reprendre ces propres propos, il voudrait que w3af devienne le nmap du web, c'est-à-dire l’outil totalement incontournable. 4. W3AF et ses possibilités Avant de rentrer dans les détails techniques que propose w3af, il est important de préciser qu’il est possible d’utiliser w3af de deux manières différentes : - Via son interface graphique - Via sa ligne de commande L’interface graphique de w3af est une interface graphique particulièrement soigné et simple d’utilisation basé sur la librairie GTK. L’utilisation de l’interface graphique n’est en aucun cas restrictive du fait qu’elle permet d’utiliser w3af à 100% de ces capacités. Il est également possible d’utiliser la ligne de commande pour se servir de w3af. Il est possible, via la ligne de commande, d’exécuter exactement les mêmes commandes que grâce à l’interface graphique. D’un coté un peu plus technique, w3af se divise en deux parties : le core gérant l’ensemble des processus ainsi que la communication entre les plugins et les plugins. Précédemment, nous avons dis que w3af pouvait grossièrement se décomposer en trois parties : découverte, audit et attaque. Maintenant, nous allons tenter de découvrir w3af un peu plus en profondeur en dévoilant les 8 catégories distinctes que ce dernier possède : - Découverte - Audit - Attaques - Grep - Modificateurs de requête - Evasion - Brute Force - Affichage Comme nous avons put le dire précédemment, les plugins de « découverte » ont pour objectif de rechercher des points d’injection dans un site web (url, formulaire, page d’authentification). Les plugins d’ « audit » récupèrent les points d’injection trouvés précédemment par les plugins de découverte et tentent de trouver des vulnérabilités spécifiques à toutes les possibilités. Les plugins d’ « attaque » exploitent les vulnérabilités trouvées par les plugins d’audit. Ils retournent en général un Shell sur le serveur distant, ou un dump des tables distantes dans le cas des exploits d'injections SQL. Les plugins de type « grep » analysent le contenu de l’ensemble des pages et tentent de trouver des vulnérabilités sur les pages interrogées. Certains plugins vont, par exemple, tenter de récupérer des commentaires dans les pages HTML possédant certains mots clé comme « password », « admin uploads/Science et Technologie/ w3af.pdf