3. LES GRANDS CLASSIQUES
Attaques applicatives
+ SQL Injection
+ Cross Site Scripting
+ Command Injection
+ Path Traversal
+ Local (remote) File Inclusion
+ Redirections vers des sites tiers
Faiblesses
d’architecture
+ Mauvaise gestion des droits
+ Mauvaise gestion des accès aux
ressources
+ Upload de fichiers dangereux
+ Cookies non sécurisés
+ Pages sessionless
Déni de service
+ Atteinte des limites du serveur
+ Atteinte des limites de l’application
+ Vulnérabilité serveur (Apache, IIS,
etc)
Phishing/Scamming
+ Emails piégés
+ Abus de confiance
+ Ingénierie sociale
4. POURQUOI SONT ILS SI
MÉCHANTS ?
Objectifs
+ Vol de données sensibles (plusieurs € par référence)
+ Interruption de service
+ Atteinte à l’image de marque ou d’une société
+ Prise de contrôle de machines cibles
+ Revenus financiers
Quelques exemples
+ US Army credentials informations leaks
+ NATO documents steal
+ SCADA
+ DDOS Operation (HSBC, Facebook, Twitter, Forex market)
+ Phishing (facebook, twitter)
5. CONTRE-MESURES
Attaques applicatives
+ Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic)
+ Développement sécurisé
+ Audits (code et sécurité)
Déni de service
+ Mise en place de pare-feu réseau
+ Mise en place d’une sonde réseau
+ (Virtual) Patching afin de contrer les vulnérabilités 0-Day
Phishing
+ Mise en place de solutions d’authentification des emails
+ Formation du personnel
+ Sensibilisation des utilisateurs (http://www.phishing.fr)
7. ATTAQUES APPLICATIVES
Obfuscation d’attaques applicatives (Firewall
Bypassing)
+ Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL
encoding)
+ SQL Injection avancées (blind injections, conversions implicites)
+ XSS avancés (Javascript obfuscation)
Nouvelles attaques
+ HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs)
+ XSRF (la vulnérabilité la plus répandue actuellement)
+ Des évolutions des anciennes recettes…
8. ATTAQUES ZERO DAY
Cibles sur le serveur
+ Apache, IIS, Tomcat, Glassfish
+ OpenSSL, XML parsers
+ Vulnérabilités Système
Méthodologie
+ Requêtes et communications malformées
+ Exploitation de fuite mémoire
Outils
+ Metasploit
+ Slowloris
+ THC-SSL-DOS, etc.
9. ATTAQUES DU PROTOCOLE SSL
Ciphers cracking
+ B.E.A.S.T.
+ CBC mode vulnerability
SSL Bypass
+ C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL)
+ C.R.I.M.E. v2 (HTTP Compression, Time Attack)
11. SE MAINTENIR A JOUR
Les attaques applicatives évoluent et se
transforment
+ Maintenir ses règles de sécurité à jour
+ Installer les mises à jour des produits de défense dès qu’elles sont disponibles
+ Mettre en place des règles de virtual patching via ICX ou les workflows
Les nouvelles vulnérabilités sont toujours
exploitées
+ Maintenir son niveau de connaissance des produits
+ S’informer de l’actualité des techniques d’attaque
+ Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de
l’infrastructure (frameworks, bibliothèques, etc)
12. RENFORCER LA POLITIQUE
D’ACCES
De nouvelles formes d’attaques applicatives
apparaissent
+ Comprendre ces attaques
+ Mesurer leur impact dans le système d’information
+ Mettre en place des techniques de protections adaptées (nouvelles règles ICX,
modification et amélioration des politiques de sécurité)
Les communications SSL sont au cœur de
la sécurité Web
+ Utiliser des algorithmes de chiffrement sûrs et reconnus
+ Maintenir le serveur applicatif à jour
+ Maintenir le pare-feu applicatif à jour
13. VALIDER LE TRAFFIC
La majorité des nouvelles vulnérabilités sont
issues d’un trafic anormal
+ Requêtes mal formées ou invalides
+ Protocole HTTP modifié
+ Flux de données anormalement important
Mettre en place des outils de contrôle et
de maitrise du trafic:
+ Vérifier la taille des requêtes
+ Vérifier la validité du protocole
+ Vérifier le nombre et le format des paramètres
14. NE RIEN OUBLIER
Disparition progressive de l’architecture deux tiers
+ Les communications ne se font plus uniquement entre le client (navigateur internet) et le
serveur web
+ Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires)
+ Communication via des API Web Services (SOAP/XML) peu ou pas protégés !
Le cœur fonctionnel de l’application web reste le
même
+ Utilisation de SQL, HTML et de langages de script
+ Les attaques applicatives touchent également les web services
+ Au même titre que les applications web classiques, les Web Services doivent être protégés!
16. UNE APPLICATION SÉCURISÉE
Une infrastructure à
jour
+ Pare-feu applicatif + signatures
+ Serveur web
+ Annuaire et base de données
+ Système d’exploitation
Une maîtrise du trafic
entrant
+ Taille des requêtes
+ Nombre de requêtes
+ Nombre et format de paramètres
+ Protocoles autorisés
Une bonne
connaissance de
l’application web
+ Identification des différents points
de communications
+ Evaluation des niveaux de
confiance
Un suivi de l’actualité
sécurité
+ Nouvelles vulnérabilités
+ Nouvelles attaques
17. VULNÉRABILITÉS WEB ‘13
WAF
WAF
WAF
WAF
MULTI
WAF
WAF
MULTI
WAF
WAF
# Vulnérabilité
1 Injection
2 Broken authentication & session management
3 Cross site scripting
4 Insecure direct object reference
5 Security misconfiguration
6 Sensitive data exposure
7 Missing function level access control
8 Cross site request forgery
9 Using components with known vulnerabilities
10 Unvalidated redirects and forwards
Contre mesure
Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
18. VOTRE PARE-FEU APPLICATIF
Doit :
+ Être un équipement dédié
+ Être à jour !
+ Être modulaire et industrialisable
+ Protéger TOUTES les applications
+ Protéger efficacement les Web Services
+ Protéger les applications mobiles
Ne doit pas :
+ Être une boîte noire
+ Nécessiter 800 pages de manuel
+ Requérir l’intervention des
développeurs
19. Web Application
Firewall, Web Access
Management et Web
Services Firewall.
MOINS DE
PRODUITS
Solution unifiée de filtrage, de
contrôle du trafic HTTP,
d’authentification et de routage
applicatif. Applications, APIs, web
services.
MOINS DE TEMPS
Administration graphique simple
et puissante. Profils d’applications,
templates.
BEE WARE I-SUITE 5.5
Active monitoring
Application firewalling
Application routing
HTTP throttling
Mobility policies
REST/JSON
Reverse proxy
SOAP/XML
SSL tunneling
Strong authentication
Web cloaking
Workflow
MOINS DE
STRESS
Supervision et protection du trafic
applicatif. En tout point du
système d’information.