SlideShare une entreprise Scribd logo

Hacking Open source et Sécurité, préconisations

C
Certilience

Présentation des techniques de hacking et préconisations en OpenSource

Technologie
1  sur  26
Télécharger pour lire hors ligne
p. 1 Julien Cayssol, Certilience, Juin 2013 Hacking: sécurité avec les logiciels libres
p. 2 Agenda • Les vulnérabilités dans les produits • Présentation des attaques – XSS (Réfléchi, Permanente, ...) – Injections ( SQL, LDAP, … ) – ... • Démonstration • Scénario • Les Solutions
p. 3 Des Vulnérabilités dans l'Opensource • Dans les CMS : – En Mai sur Wordpress Core + plugins > 25 vulnérabilités – En Avril sur Drupal + Modules > 5 vulnérabilités • Nginx ? DoS (ref : CVE-2013-2028) Focus Web...
p. 4 Les Attaques
p. 5 XSS ( Cross Site Scripting ) • Réfléchi – Exemple : Echange d'un lien • Www.banque.com/?msg='Erreur Mot de passe' • Exploitation simple : – Www.banque.com?msg=<script>alert('Test')</script> • Exploitation d'une vulnérabilité sur le navigateur
p. 6 XSS ( Cross Site Scripting ) • Permanente – Exemple : Un Forum. • Une personne dépose un commentaire « <script>alert('Bonjour')</script> » • A la consultation du forum le code s’exécute sur le poste client.
p. 7 Injection SQL • Détourner une requête – Portail d'authentification – Fiche Article • Conséquences : – Bypass d'authentification – Récupération de données d'autres tables – Exécution de code
p. 8 Injection SQL (Fonctionnement) • Authentification – Requête : • SELECT * from users where username='$username' and password = '$password' – Cas 1 : Username = test & password = test • SELECT * from users where username='test' and password = 'test' – Cas 2 : Username = test & password = admin' or 1='1 • SELECT * from users where username='test' and password = 'admin' or 1='1'
p. 9 Injection SQL • Fiche article : – Requête : • http://url/fiche.php?id=1 –Select titre,description from articles where id =$id – Cas 1 : id=1 • Select titre,description from articles where id =1 – Cas 2 : id=999999 union select user,password from users where user='admin' • Select titre,description from articles where id =999999 union select user,password from users where user='admin' •
p. 10 Pas uniquement SQL • Détourner des requêtes sur LDAP – ( ) | * & – • Détourner des commandes systèmes – &, ;, |
p. 11 Démonstration
p. 12 Scénario • Recherche d'informations sur le site pour identifier les technologies. – Php ? MySQL ? Linux ? Firewall ? Dmz ? • Identification d'une vulnérabilité : – Injection SQL ? Dépose de fichiers ? Mot de passe faible ? Recherche des répertoires. • Dépose du code (Normalement des privilèges limités : apache,tomcat, ...)
p. 13 Scénario • Dépose du code adapté (Normalement des privilèges limités : apache,tomcat, …) • Elévation de privilèges : – Vuln kernel? – Backup, script ? Clef ?
p. 14 Scénario • Dépose du code adapté (Normalement des privilèges limités : apache,tomcat, …) • Elévation de privilèges : – Vuln kernel? – Backup, script ? Clef ?
p. 15 Scénario • La machine est compromise. • Dépose d'une backdoor sur la machine – Rootkit dans les couches du noyau – Rootkit pour remplacer les commandes – On efface les traces
p. 16 Préconisations
p. 17 Correction de code • Utilisation de guides, – OWASP (Projet Opensource) www.owasp.org TOP 10 2013, version française cette semaine • Tests pour valider le niveau de sécurité de mon application. • Les bonnes solutions. •
p. 18 Architecture • Firewall • DMZ de services • Limiter les flux in/out du serveur
p. 19 Architecture Syslog/Logstash+kibana/Apache/pfsense/
p. 20 Hardening système • Bonne configuration du serveur – Restriction des services – Minimum de privilèges – Restrictions sur le SSH ( root / password / users)
p. 21 Hardening système • Bonne configuration du serveur – Restriction des services – Minimum de privilèges – Restrictions sur le SSH ( root / password / users)
p. 22 Hardening Apache • Directive – ServerTokens – ServerSignature • Désactiver le listage des répertoires • Désactivation de certains modules
p. 23 Hardening de l'application (ex : php) • Désactivation des erreurs PHP • Bannière expose_php • Restriction des include • ...
p. 24 Ajoutons une couche • mod_security : Le WAF OpenSource – Validation des variables – Détection d'erreurs • Fail2ban : Regex on logs – Il est possible de le coupler à mod_security • Monitoring – Disponibilité des services – Sécurité : fichiers modifiés, accès...
p. 25 Veille sécurité • Tracking sur vos produits • Procédure de mise à jour : – Sur le système – Sur les CMS (Attention aux plugins)
p. 26 Des Questions ? Merci, Www.certilience.fr

Recommandé

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Certilience
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
Tout ce que le getting started mongo db ne vous dira pas
Tout ce que le getting started mongo db ne vous dira pasTout ce que le getting started mongo db ne vous dira pas
Tout ce que le getting started mongo db ne vous dira pasPierre-Alban DEWITTE
 
Présentation de Node.js
Présentation de Node.jsPrésentation de Node.js
Présentation de Node.jsMickael Couzinet
 
Rails 3 au Djangocong
Rails 3 au DjangocongRails 3 au Djangocong
Rails 3 au DjangocongJérémy Lecour
 

Recommandé

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Certilience
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
Tout ce que le getting started mongo db ne vous dira pas
Tout ce que le getting started mongo db ne vous dira pasTout ce que le getting started mongo db ne vous dira pas
Tout ce que le getting started mongo db ne vous dira pasPierre-Alban DEWITTE
 
Présentation de Node.js
Présentation de Node.jsPrésentation de Node.js
Présentation de Node.jsMickael Couzinet
 
Rails 3 au Djangocong
Rails 3 au DjangocongRails 3 au Djangocong
Rails 3 au DjangocongJérémy Lecour
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChristophe Villeneuve
 
2014.12.11 - TECH CONF #3 - Présentation Node.js
2014.12.11 - TECH CONF #3 - Présentation Node.js2014.12.11 - TECH CONF #3 - Présentation Node.js
2014.12.11 - TECH CONF #3 - Présentation Node.jsTelecomValley
 
Meetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalMeetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalAurelien Navarre
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013Hackfest Communication
 
MongoDB day Paris 2012
MongoDB day Paris 2012MongoDB day Paris 2012
MongoDB day Paris 2012FastConnect
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet ZabbixSamiMessaoudi4
 
Rapport DVWA: File Upload
Rapport DVWA: File UploadRapport DVWA: File Upload
Rapport DVWA: File UploadAyoub Rouzi
 
Introduction à Node.js
Introduction à Node.js Introduction à Node.js
Introduction à Node.js Sonam TCHEUTSEUN
 
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?Paris Salesforce Developer Group
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
 
Sécurité MySQL
Sécurité MySQLSécurité MySQL
Sécurité MySQLDamien Seguy
 
Formation mass scripting
Formation mass scriptingFormation mass scripting
Formation mass scriptingNicolas Ledez
 
Retour d'expérience sur notre stack de log
Retour d'expérience sur notre stack de logRetour d'expérience sur notre stack de log
Retour d'expérience sur notre stack de logJulien Maitrehenry
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudAlain Ganuchaud
 
Javascript & tools
Javascript & toolsJavascript & tools
Javascript & toolsSlim Soussi
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec sslNoël
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)achraf_ing
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheAurelien Navarre
 
Création et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionCréation et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionMehdi HAMMADI
 
Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Alexandre Marie
 
Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB MongoDB
 

Contenu connexe

Tendances

2014.12.11 - TECH CONF #3 - Présentation Node.js
2014.12.11 - TECH CONF #3 - Présentation Node.js2014.12.11 - TECH CONF #3 - Présentation Node.js
2014.12.11 - TECH CONF #3 - Présentation Node.jsTelecomValley
 
Meetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalMeetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalAurelien Navarre
 
MongoDB day Paris 2012
MongoDB day Paris 2012MongoDB day Paris 2012
MongoDB day Paris 2012FastConnect
 
Rapport DVWA: File Upload
Rapport DVWA: File UploadRapport DVWA: File Upload
Rapport DVWA: File UploadAyoub Rouzi
 
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?Paris Salesforce Developer Group
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
 
Formation mass scripting
Formation mass scriptingFormation mass scripting
Formation mass scriptingNicolas Ledez
 
Retour d'expérience sur notre stack de log
Retour d'expérience sur notre stack de logRetour d'expérience sur notre stack de log
Retour d'expérience sur notre stack de logJulien Maitrehenry
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudAlain Ganuchaud
 
Javascript & tools
Javascript & toolsJavascript & tools
Javascript & toolsSlim Soussi
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec sslNoël
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)achraf_ing
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheAurelien Navarre
 
Création et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionCréation et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionMehdi HAMMADI
 

Tendances (20)

Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDB
 
2014.12.11 - TECH CONF #3 - Présentation Node.js
2014.12.11 - TECH CONF #3 - Présentation Node.js2014.12.11 - TECH CONF #3 - Présentation Node.js
2014.12.11 - TECH CONF #3 - Présentation Node.js
 
Meetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalMeetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupal
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
 
MongoDB day Paris 2012
MongoDB day Paris 2012MongoDB day Paris 2012
MongoDB day Paris 2012
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Rapport DVWA: File Upload
Rapport DVWA: File UploadRapport DVWA: File Upload
Rapport DVWA: File Upload
 
Introduction à Node.js
Introduction à Node.js Introduction à Node.js
Introduction à Node.js
 
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
Scratch orgs...vous pensiez en avoir terminé avec les sandboxes ?
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
 
Sécurité MySQL
Sécurité MySQLSécurité MySQL
Sécurité MySQL
 
Formation mass scripting
Formation mass scriptingFormation mass scripting
Formation mass scripting
 
Retour d'expérience sur notre stack de log
Retour d'expérience sur notre stack de logRetour d'expérience sur notre stack de log
Retour d'expérience sur notre stack de log
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain Ganuchaud
 
Javascript & tools
Javascript & toolsJavascript & tools
Javascript & tools
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures web
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cacheMeetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
 
Création et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionCréation et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de session
 

Similaire à Hacking Open source et Sécurité, préconisations

Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Alexandre Marie
 
Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB MongoDB
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesAurelien Navarre
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
Retours Devoxx France 2016
Retours Devoxx France 2016Retours Devoxx France 2016
Retours Devoxx France 2016Antoine Rey
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015Christophe Villeneuve
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Jérôme Petazzoni
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaMicrosoft
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
Développement d'un générateur d'intépréteur de bytecodes pour une JVM embarquée
Développement d'un générateur d'intépréteur de bytecodes pour une JVM embarquéeDéveloppement d'un générateur d'intépréteur de bytecodes pour une JVM embarquée
Développement d'un générateur d'intépréteur de bytecodes pour une JVM embarquéeMustapha Tachouct
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressourceAntoine Pouch
 

Similaire à Hacking Open source et Sécurité, préconisations (20)

Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)
 
Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeurs
 
Retours Devoxx France 2016
Retours Devoxx France 2016Retours Devoxx France 2016
Retours Devoxx France 2016
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWF
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmedia
 
La sécurité : ange ou démon ?
La sécurité : ange ou démon ?La sécurité : ange ou démon ?
La sécurité : ange ou démon ?
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Développement d'un générateur d'intépréteur de bytecodes pour une JVM embarquée
Développement d'un générateur d'intépréteur de bytecodes pour une JVM embarquéeDéveloppement d'un générateur d'intépréteur de bytecodes pour une JVM embarquée
Développement d'un générateur d'intépréteur de bytecodes pour une JVM embarquée
 
Les nouveautés de PowerShell 3.0
Les nouveautés de PowerShell 3.0Les nouveautés de PowerShell 3.0
Les nouveautés de PowerShell 3.0
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Support NodeJS avec TypeScript Express MongoDB
Support NodeJS avec TypeScript Express MongoDBSupport NodeJS avec TypeScript Express MongoDB
Support NodeJS avec TypeScript Express MongoDB
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressource
 

Hacking Open source et Sécurité, préconisations

  • 1. p. 1 Julien Cayssol, Certilience, Juin 2013 Hacking: sécurité avec les logiciels libres
  • 2. p. 2 Agenda • Les vulnérabilités dans les produits • Présentation des attaques – XSS (Réfléchi, Permanente, ...) – Injections ( SQL, LDAP, … ) – ... • Démonstration • Scénario • Les Solutions
  • 3. p. 3 Des Vulnérabilités dans l'Opensource • Dans les CMS : – En Mai sur Wordpress Core + plugins > 25 vulnérabilités – En Avril sur Drupal + Modules > 5 vulnérabilités • Nginx ? DoS (ref : CVE-2013-2028) Focus Web...
  • 5. p. 5 XSS ( Cross Site Scripting ) • Réfléchi – Exemple : Echange d'un lien • Www.banque.com/?msg='Erreur Mot de passe' • Exploitation simple : – Www.banque.com?msg=<script>alert('Test')</script> • Exploitation d'une vulnérabilité sur le navigateur
  • 6. p. 6 XSS ( Cross Site Scripting ) • Permanente – Exemple : Un Forum. • Une personne dépose un commentaire « <script>alert('Bonjour')</script> » • A la consultation du forum le code s’exécute sur le poste client.
  • 7. p. 7 Injection SQL • Détourner une requête – Portail d'authentification – Fiche Article • Conséquences : – Bypass d'authentification – Récupération de données d'autres tables – Exécution de code
  • 8. p. 8 Injection SQL (Fonctionnement) • Authentification – Requête : • SELECT * from users where username='$username' and password = '$password' – Cas 1 : Username = test & password = test • SELECT * from users where username='test' and password = 'test' – Cas 2 : Username = test & password = admin' or 1='1 • SELECT * from users where username='test' and password = 'admin' or 1='1'
  • 9. p. 9 Injection SQL • Fiche article : – Requête : • http://url/fiche.php?id=1 –Select titre,description from articles where id =$id – Cas 1 : id=1 • Select titre,description from articles where id =1 – Cas 2 : id=999999 union select user,password from users where user='admin' • Select titre,description from articles where id =999999 union select user,password from users where user='admin' •
  • 10. p. 10 Pas uniquement SQL • Détourner des requêtes sur LDAP – ( ) | * & – • Détourner des commandes systèmes – &, ;, |
  • 12. p. 12 Scénario • Recherche d'informations sur le site pour identifier les technologies. – Php ? MySQL ? Linux ? Firewall ? Dmz ? • Identification d'une vulnérabilité : – Injection SQL ? Dépose de fichiers ? Mot de passe faible ? Recherche des répertoires. • Dépose du code (Normalement des privilèges limités : apache,tomcat, ...)
  • 13. p. 13 Scénario • Dépose du code adapté (Normalement des privilèges limités : apache,tomcat, …) • Elévation de privilèges : – Vuln kernel? – Backup, script ? Clef ?
  • 14. p. 14 Scénario • Dépose du code adapté (Normalement des privilèges limités : apache,tomcat, …) • Elévation de privilèges : – Vuln kernel? – Backup, script ? Clef ?
  • 15. p. 15 Scénario • La machine est compromise. • Dépose d'une backdoor sur la machine – Rootkit dans les couches du noyau – Rootkit pour remplacer les commandes – On efface les traces
  • 17. p. 17 Correction de code • Utilisation de guides, – OWASP (Projet Opensource) www.owasp.org TOP 10 2013, version française cette semaine • Tests pour valider le niveau de sécurité de mon application. • Les bonnes solutions. •
  • 18. p. 18 Architecture • Firewall • DMZ de services • Limiter les flux in/out du serveur
  • 20. p. 20 Hardening système • Bonne configuration du serveur – Restriction des services – Minimum de privilèges – Restrictions sur le SSH ( root / password / users)
  • 21. p. 21 Hardening système • Bonne configuration du serveur – Restriction des services – Minimum de privilèges – Restrictions sur le SSH ( root / password / users)
  • 22. p. 22 Hardening Apache • Directive – ServerTokens – ServerSignature • Désactiver le listage des répertoires • Désactivation de certains modules
  • 23. p. 23 Hardening de l'application (ex : php) • Désactivation des erreurs PHP • Bannière expose_php • Restriction des include • ...
  • 24. p. 24 Ajoutons une couche • mod_security : Le WAF OpenSource – Validation des variables – Détection d'erreurs • Fail2ban : Regex on logs – Il est possible de le coupler à mod_security • Monitoring – Disponibilité des services – Sécurité : fichiers modifiés, accès...
  • 25. p. 25 Veille sécurité • Tracking sur vos produits • Procédure de mise à jour : – Sur le système – Sur les CMS (Attention aux plugins)
  • 26. p. 26 Des Questions ? Merci, Www.certilience.fr